III OSK 2182/22
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny rozpoznał skargę kasacyjną I. Sp. z o.o. w likwidacji od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który oddalił skargę spółki na decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO). Prezes UODO udzielił spółce upomnienia za naruszenie przepisów RODO, polegające na udostępnieniu danych osobowych P.G. podmiotom nieuprawnionym w wyniku błędu pracownika podmiotu przetwarzającego dane. Spółka argumentowała, że doszło do cyberataku, a nie udostępnienia danych, i kwestionowała odpowiedzialność administratora za działania podmiotu przetwarzającego dane poza jurysdykcją UE. WSA oddalił skargę spółki. NSA, analizując zarzuty skargi kasacyjnej, uznał, że spółka ponosi pełną odpowiedzialność jako administrator danych, nawet jeśli naruszenie nastąpiło z winy podmiotu przetwarzającego dane poza jurysdykcją UE. Kluczowe dla rozstrzygnięcia było stanowisko NSA, że w przypadku incydentu naruszenia ochrony danych osobowych konieczne jest prowadzenie jednego, kompleksowego postępowania przez Prezesa UODO, które obejmie zarówno postępowanie z urzędu, jak i wszystkie indywidualne skargi osób poszkodowanych. NSA uchylił zaskarżony wyrok WSA oraz punkt 1 zaskarżonej decyzji Prezesa UODO, uznając, że postępowanie przed organem nadzoru naruszyło zasady postępowania wyjaśniającego poprzez prowadzenie odrębnych postępowań. Sąd nakazał połączenie wszystkich spraw dotyczących tego incydentu w jedno postępowanie, w którym osoby poszkodowane powinny uzyskać status stron.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUstalenie zasad prowadzenia postępowań przez organy nadzorcze w przypadku naruszenia ochrony danych osobowych oraz odpowiedzialności administratora za działania podmiotów przetwarzających dane spoza UE.
Orzeczenie dotyczy specyficznej sytuacji naruszenia ochrony danych przez podmiot przetwarzający spoza jurysdykcji UE, co może wpływać na zakres jego stosowania w innych kontekstach.
Zagadnienia prawne (3)
Czy administrator danych osobowych ponosi pełną odpowiedzialność za naruszenie ochrony danych osobowych spowodowane przez podmiot przetwarzający dane, który działa poza jurysdykcją Unii Europejskiej?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi pełną odpowiedzialność, jeśli powierzył przetwarzanie danych podmiotowi, który nie podlega jurysdykcji państwa członkowskiego UE, a umowa o powierzenie nie podlega prawu UE lub państwa członkowskiego.
Uzasadnienie
NSA uznał, że w przypadku powierzenia przetwarzania danych podmiotowi spoza jurysdykcji UE, administrator ponosi obiektywną odpowiedzialność za wszystkie czynności przetwarzania dokonywane przez taki podmiot, aby zapewnić skuteczność ochrony danych osobowych i egzekwowanie przepisów RODO.
Czy w przypadku jednego incydentu naruszenia ochrony danych osobowych, organ nadzorczy powinien prowadzić jedno kompleksowe postępowanie, czy też odrębne postępowania dla każdego zgłoszenia indywidualnego?Ratio decidendi
Odpowiedź sądu
Organ nadzorczy powinien prowadzić jedno kompleksowe postępowanie, obejmujące wszystkie indywidualne skargi i postępowanie z urzędu, aby zapewnić spójność rozstrzygnięć i właściwą ocenę skali naruszenia.
Uzasadnienie
NSA stwierdził, że prowadzenie wielu odrębnych postępowań w odniesieniu do tego samego incydentu naruszenia ochrony danych jest niedopuszczalne, ponieważ może prowadzić do wypaczenia oceny skali naruszenia i narusza zasady postępowania wyjaśniającego. Celem powinno być jedno postępowanie, w którym osoby poszkodowane uzyskają status stron.
Czy udostępnienie danych osobowych osobie nieuprawnionej w wyniku błędu pracownika podmiotu przetwarzającego dane stanowi naruszenie art. 6 ust. 1 RODO (przetwarzanie zgodne z prawem)?Ratio decidendi
Odpowiedź sądu
Tak, udostępnienie danych osobowych osobie nieuprawnionej, nawet w wyniku błędu, stanowi naruszenie art. 6 ust. 1 RODO, jeśli nie zachodzi żadna z przesłanek legalizujących takie przetwarzanie.
Uzasadnienie
NSA potwierdził, że ujawnienie danych osobowych osobie trzeciej, nawet w wyniku błędu pracownika podmiotu przetwarzającego, jest formą udostępnienia danych w rozumieniu RODO i stanowi naruszenie, jeśli nie ma ku temu podstawy prawnej.
Przepisy (20)
Główne
P.p.s.a. art. 188
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 145 § 1 pkt 1 lit. a) i c)
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 6 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 5 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 58 § ust. 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Pomocnicze
P.p.s.a. art. 209
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 203 § pkt 1
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 205 § par. 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 104 § § 1
Ustawa z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § ust. 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 4 § pkt 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 4 § pkt 7
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 28 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 33 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 77 § ust. 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 57 § ust. 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 83 § ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 28 § ust. 10
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Konstytucja RP art. 45 § ust. 1
Konstytucja Rzeczypospolitej Polskiej
Karta Praw Podstawowych UE art. 47
Karta Praw Podstawowych Unii Europejskiej
Argumenty
Skuteczne argumenty
Konieczność prowadzenia jednego, kompleksowego postępowania w odniesieniu do całego incydentu naruszenia ochrony danych. • Pełna odpowiedzialność administratora danych za działania podmiotu przetwarzającego dane poza jurysdykcją UE.
Odrzucone argumenty
Argumenty spółki kwestionujące samo udostępnienie danych, twierdzące, że doszło do cyberataku. • Argumenty spółki o braku odpowiedzialności administratora za działania podmiotu przetwarzającego dane poza jurysdykcją UE.
Godne uwagi sformułowania
Naczelny Sąd Administracyjny stoi na stanowisku, że konieczne jest wszczęcie i przeprowadzenie jednego postępowania przez Prezesa Urzędu Ochrony Danych Osobowych, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej. • W przypadku powierzenia funkcji podmiotu przetwarzającego dane osobowe podlegającemu jurysdykcji Białorusi zachodzi pełna odpowiedzialność administratora danych osobowych, którym jest skarżąca spółka.
Skład orzekający
Zbigniew Ślusarczyk
przewodniczący
Rafał Stasikowski
członek
Paweł Mierzejewski
sprawozdawca
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie zasad prowadzenia postępowań przez organy nadzorcze w przypadku naruszenia ochrony danych osobowych oraz odpowiedzialności administratora za działania podmiotów przetwarzających dane spoza UE."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji naruszenia ochrony danych przez podmiot przetwarzający spoza jurysdykcji UE, co może wpływać na zakres jego stosowania w innych kontekstach.
Wartość merytoryczna
Ocena: 8/10
Orzeczenie porusza kluczowe kwestie odpowiedzialności za naruszenia ochrony danych w kontekście międzynarodowym oraz proceduralne aspekty postępowań przed organami nadzorczymi, co jest bardzo istotne dla praktyków ochrony danych.
“Jedno naruszenie, jedno postępowanie: NSA wyznacza standardy dla ochrony danych w erze globalizacji.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.