III OSK 2398/22

III OSK 2398/22 - Wyrok NSA
Data orzeczenia
2025-06-18
orzeczenie prawomocne
Data wpływu
2022-09-30
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Paweł Mierzejewski /sprawozdawca/
Rafał Stasikowski
Zbigniew Ślusarczyk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2216/21 - Wyrok WSA w Warszawie z 2022-04-20
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i zaskarżoną decyzję
Powołane przepisy
Dz.U. 2024 poz 935
art. 188 w zw. z art. 145 par. 1 pkt 1 lit a) i c); art. 209 w zw. z art. 203 pkt 1 w zw. z art. 205 par. 2
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1, art. 32, art. 33 ust. 1, artr. 57 ust. 1, art. 77 ust. 1, art. 83 ust. 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Zbigniew Ślusarczyk Sędziowie: Sędzia NSA Rafał Stasikowski Sędzia del. WSA Paweł Mierzejewski (spr.) Protokolant: Starszy asystent sędziego Agnieszka Kozik po rozpoznaniu w dniu 18 czerwca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej I. Sp. z o.o. w likwidacji z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 kwietnia 2022 r. sygn. akt II SA/Wa 2216/21 w sprawie ze skargi I. Sp. z o.o. w likwidacji z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 28 kwietnia 2021 r. nr DS.523.1997.2020.FT.MI.121962 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok oraz zaskarżoną decyzję; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz I. Sp. z o.o. w likwidacji z siedzibą w W. 1.257 (jeden tysiąc dwieście pięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania sądowego.
Uzasadnienie
Zaskarżonym wyrokiem z dnia 20 kwietnia 2022 r., sygn. akt II SA/Wa 2216/21 Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu sprawy ze skargi I. Sp. z o.o. w likwidacji z siedzibą w W. (dalej: "skarżąca" albo "spółka") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO" albo "organ") z dnia 28 kwietnia 2021 r. nr DS.523.1997.2020.FT.MI.121962 w przedmiocie przetwarzania danych osobowych, oddalił skargę.
Wyrok zapadł w następujących okolicznościach faktycznych i prawnych:
Pismem z dnia 31 marca 2020 r. A.K. (dalej: "wnioskodawca" albo "uczestnik") wniósł do Prezesa UODO skargę na niezgodne z prawem przetwarzanie jego danych osobowych przez spółkę - administratora serwisu internetowego moneyman.pl. Wnioskodawca podniósł, że doszło do ujawnienia jego danych takich jak: imię, nazwisko, PESEL, seria i numer dowodu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego/komórkowego, nazwa pracodawcy, przychód miesięczny, stan cywilny, wykształcenie. Wnioskodawca stwierdził, że o ujawnieniu wymienionych danych został poinformowany wiadomością e-mail w dniu 16 marca 2020 r., oraz że do ujawnienia miało dojść przez błąd pracownika spółki zarządzającego stroną internetową moneyman.pl. w okresie pomiędzy 3 a 14 marca 2020 r. Oświadczył ponadto, że spółka uzyskała jego dane w związku z procedurą udzielenia pożyczki gotówkowej.
Decyzją z dnia 28 kwietnia 2021 r. wydaną na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r., poz. 256 ze zm.), dalej: "k.p.a." w zw. z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 256), dalej: "u.o.d.o.", art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm., ogólne rozporządzenie o ochronie danych), dalej: "RODO", Prezes UODO udzielił spółce upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu bez podstawy prawnej danych osobowych wnioskodawcy podmiotom nieuprawnionym.
W uzasadnieniu wydanej decyzji Prezes UODO podał, że przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych jest art. 6 ust. 1 RODO, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek wskazanych w tym przepisie. Katalog przesłanek wymienionych w art. 6 ust. 1 RODO jest zamknięty. Na administratorze danych osobowych, którym w rozumieniu art. 4 pkt 7 RODO jest I., ciąży obowiązek prawny przetwarzania danych osobowych zgodnie z obowiązującymi przepisami, a w szczególności obowiązek zapewnienia, by przetwarzanie odbywało się na podstawie co najmniej jednej z przesłanek enumeratywnie wymienionych w art. 6 ust. 1 RODO. Prezes UODO wskazał również, że art. 5 ust. 1 lit. f RODO nakłada na administratora danych osobowych obowiązek przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Organ podniósł także, że zgodnie z art. 28 ust. 1 RODO to na administratorze spoczywa obowiązek wyboru takiego podmiotu przetwarzającego, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi integralności i poufności oraz chroniło prawa osób, których dane dotyczą.
Prezes UODO wskazał, że spółka w złożonych wyjaśnieniach nie zaprzeczyła, iż w wyniku błędu pracownika [...] mogło dojść do udostępnienia danych osobowych uczestnika podmiotom do tego nieuprawnionym oraz wskazała, że to pracownik [...] dopuścił się przedmiotowego naruszenia. Wnioskodawca zaś w toku postępowania przedłożył wydruk wiadomości e-mail, w którym spółka przyznała, że w wyniku błędu pracownika podmiotu, z którym zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach 3 - 14 marca 2020 r. danych osobowych uczestnika, doszło do udostępnienia jego danych osobowych w zakresie: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na moneyman.pl.
Zdaniem organu w zakresie powyższego udostępnienia nie została spełniona żadna z przesłanek legalizujących proces przetwarzania danych osobowych określonych w art. 6 ust. 1 RODO.
Prezes UODO podkreślił, że w postępowaniu zainicjowanym indywidualną skargą, może dokonać wyłącznie oceny legalności przetwarzania danych i w przypadku stwierdzenia nieprawidłowości w procesie przetwarzania danych - w celu przywrócenia stanu zgodnego z prawem - zastosować uprawnienia naprawcze, o których mowa w art. 58 ust. 2 RODO, w tym udzielić upomnienia administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania (lit. b). Organ wskazał ponadto, że stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpieczeń, ich adekwatność oraz skuteczność mogą być natomiast przedmiotem postępowania wszczętego z urzędu.
W konkluzji Prezes UODO stwierdził, że przetwarzanie danych osobowych wnioskodawcy, polegające na ich udostępnieniu w dniach 3 - 14 marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowiło naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, co uzasadnia zastosowanie wobec spółki upomnienia.
Spółka złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia 28 kwietnia 2021 r.
Spółka zarzuciła naruszenie:
1. przepisów prawa materialnego, mające istotny wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym przyjęciu, że art. 6 ust. 1 RODO miał w sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej;
2. przepisów prawa materialnego, mające wpływ na wynik sprawy, tj. art. 6 ust. 1 oraz art. 5 ust. 1 lit. f RODO, polegające na błędnym przyjęciu, że ważność podstawy prawnej przetwarzania danych zależy od odpowiedniego zabezpieczenia danych osobowych, podczas gdy zasada zgodności z prawem (art. 5 ust. 1 lit. a RODO) jest niezależna od zasady integralności i poufności (art. 5 ust. 1 lit. f RODO), zaś ewentualne naruszenie wymogów bezpieczeństwa, np. art. 32 RODO nie oznacza automatycznie, że dane były przetwarzane bez ważnej podstawy prawnej;
3. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a., polegające na braku zgromadzenia materiału dowodowego pozwalającego uznać naruszenie zasady integralności i poufności oraz niezgodne z prawem przetwarzanie danych osobowych przez skarżącą za udowodnione;
4. przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 8 ust. 1 i 2, art. 77 § 1 i § 4 i art. 110 § 1 k.p.a., poprzez całkowity brak uwzględnienia znanego z urzędu faktu, że działanie spółki będące w istocie przedmiotem skargi wnioskodawcy do Prezesa UODO, tzn. rzekome nieadekwatne zabezpieczenie przez skarżącą bazy danych osobowych użytkowników portalu moneyman.pl, było już przedmiotem decyzji Prezesa UODO z dnia 17 grudnia 2020 r. (nr DKN.5130.1354.2020), do którego to postępowania skarżąca odwoływała się w swoich pismach procesowych (sprawa na etapie WSA w Warszawie, sygn. II SA/Wa 528/21), jak również jest przedmiotem szeregu podobnych postępowań w sprawach indywidualnych, co prowadzi do wielokrotnej oceny tego działania lub zaniechania, wielokrotnego nakładania sankcji w różnych postępowaniach, jak również wprowadzenie do obrotu prawnego sytuacji, w których jeden i ten sam incydent w części spraw jest uznany za naruszenie przez skarżącą przepisów prawa, a w innych nie.
Spółka wniosła o uchylenie zaskarżonej decyzji oraz zasądzenie kosztów postępowania według norm przepisanych.
Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie z przyczyn wywiedzionych w zaskarżonej decyzji.
W piśmie procesowym z dnia 30 czerwca 2021 r. stanowiącym replikę na odpowiedź na skargę pełnomocnik skarżącej podtrzymał skargę.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 20 kwietnia 2022 r. oddalił wniesioną skargę na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2022 r., poz. 329), dalej jako "P.p.s.a.".
W uzasadnieniu wydanego wyroku Wojewódzki Sąd Administracyjny w Warszawie wskazał, że zaskarżoną decyzją organ skorzystał z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO, który stanowi dla organu nadzorczego podstawę do udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów rozporządzenia przez operacje przetwarzania. "Przetwarzanie", zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Warunki uznania przetwarzania danych osobowych za legalne określono z kolei w art. 6 ust. 1 RODO.
Sąd meriti odnotował, że z akt sprawy wynika, że dane osobowe wnioskodawcy, których administratorem jest skarżąca, zostały udostępnione nieznanej osobie trzeciej. W uzasadnieniu zaskarżonej decyzji trafnie stwierdzono, że wnioskodawca dołączył do skargi wydruk wiadomości e-mail wysłanej 16 marca 2016 r. z adresu elektronicznego kontakt@moneyman.pl, w której poinformowano, że jego dane osobowe zapisane na koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu M. powierzył przetwarzanie danych osobowych. Błąd ten polegał, wedle udzielonej przez administratora informacji, na braku zabezpieczenia danych w okresie od 3 do 14 marca 2020 r. przez podmiot współpracujący z M. Zgodnie z informacją, zakres danych osobowych objętych nieuprawnionym dostępem objął (podane w trakcie zakładania konta użytkownika lub w okresie późniejszym): imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób pozostających na utrzymaniu, stan cywilny wykształcenie, hasło do profilu klienta na moneyman.pl. W toku postępowania organ zobowiązał spółkę do złożenia wyjaśnień i odniesienia się do skargi uczestnika. Spółka potwierdziła, że jeśli wymieniony został poinformowany o naruszeniu, to jego dane najprawdopodobniej zostały tym naruszeniem objęte, a ponadto odwołała się do ustaleń postępowania zakończonego decyzją Prezesa UODO z dnia 17 grudnia 2020 r. nr DKN.5130.1354.2020.104813, w którym wywodziła, że na skutek błędu pracownika podmiotu przetwarzającego doszło do omyłkowego udostępnienia nieuprawnionym osobom danych klientów skarżącej. W skardze spółka potwierdziła, że zgłosiła naruszenie stosowanie do art. 33 i art. 34 RODO.
Uwzględniając powyższe, Sąd pierwszej instancji podkreślił, że ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej, skoro skarżąca przyznała, kierując do wnioskodawcy wiadomość e-mail, że dane osobowe zapisane na koncie użytkownika zostały ujawnione osobie trzeciej na skutek błędu pracownika podmiotu, któremu powierzono przetwarzanie danych osobowych, polegającego na braku zabezpieczenia tych danych. W ocenie Sądu pierwszej instancji chybione jest zatem stanowisko spółki, która zmierza do wykazania, że ujawnienie danych osobowych uczestnika, o którym mowa w zaskarżonej decyzji, nie stanowi ich udostępnienia, lecz naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) będące wynikiem "cyberataku".
Zdaniem Sądu pierwszej instancji Prezes UODO miał podstawę do stwierdzenia, że właściwie ustalone w toku postępowania innego rodzaju udostępnienie danych osobowych, polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowało oparcia w żadnej z wymienionych w powołanym wyżej art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych. W sprawie zaistniały zatem przesłanki do skorzystania przez Prezesa UODO z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO.
Sąd pierwszej instancji odnotował również, że za chybione należy uznać odwołanie się w zaskarżonej decyzji do art. 5 ust. 1 lit. f RODO. Sąd pierwszej instancji wyjaśnił, że kwestie dotyczące zastosowania odpowiednich środków technicznych lub organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych nie były bowiem objęte zakresem postępowania zakończonego zaskarżoną decyzją. Stwierdzone uchybienie nie miało jednak wpływu na wynik sprawy, ponieważ w jej właściwie ustalonych okolicznościach faktycznych zaistniały przesłanki uprawniające organ nadzorczy do udzielenia upomnienia na podstawie art. 58 ust. 2 lit. b RODO.
Sąd pierwszej instancji podkreślił, że w sprawie doszło do naruszenia przepisów rozporządzenia przez operację przetwarzania (udostępnienia) bez podstawy prawnej. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje natomiast w związku z zasadą wyrażoną w art. 5 ust. 1 lit. a RODO, zgodnie z którym dane osobowe muszą być przetwarzane zgodnie z prawem. W tej sytuacji – wobec prawidłowego stwierdzenia braku co najmniej jednej przesłanki legalizującej przetwarzania wymienionej w art. 6 ust. 1 RODO - niepowołanie w zaskarżonej decyzji art. 5 ust. 1 lit. a RODO, a wadliwe powołanie art. 5 ust. 1 lit. f RODO, pozostało bez wpływu na prawidłowość rozstrzygnięcia.
W związku z tym w ocenie Sądu pierwszej instancji chybione jest także stanowisko skarżącej, że przedmiot postępowania wszczętego skargą uczestnika jest tożsamy z przedmiotem postępowania zakończonego decyzją Prezesa UODO z dnia 17 grudnia 2020 r. nr DKN.5130.1354.2020.104813 (uchyloną wyrokiem Wojewódzkiego Sądu Administracyjnego z 5 października 2021 r., sygn. akt II SA/Wa 528/21 – od wyroku wniesiono skargę kasacyjną), a prowadzenie przedmiotowego i szeregu innych postępowań skutkuje wielokrotną oceną tego samego działania i wielokrotnym nakładaniem sankcji.
Sąd pierwszej instancji, mając na wadze treść art. 77 ust. 1 RODO, wskazał, że wnioskodawca miał prawo wystąpić do Prezesa UODO z indywidualną skargą, zarzucając niezgodne z przepisami RODO przetwarzanie (ujawnienie podmiotom nieuprawnionym) jego danych osobowych, a Prezes UODO był zobowiązany do rozpatrzenia tej skargi. Zaskarżona decyzja nie rozstrzygała kwestii dotyczących zastosowania odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków. Innym bowiem postępowaniem jest postępowanie w ramach, którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne), czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez Prezesa UODO indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych osobowych z przepisami RODO.
W podsumowaniu Sąd pierwszej instancji stwierdził, że kontrola zaskarżonej decyzji w granicach sprawy nie dała podstaw do stwierdzenia, że została ona wydana z naruszeniem przepisów postępowania, zaś stwierdzone naruszenie prawa materialnego nie miało wpływu na wynik sprawy.
Z powyższym wyrokiem nie zgodziła się spółka, wnosząc skargę kasacyjną i zaskarżając w całości wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie.
Zaskarżonemu wyrokowi skarżąca kasacyjnie zarzuciła:
1. naruszenie przepisów materialnego, tj. art. 6 ust. 1 RODO w zw. z art. 4 pkt 2 RODO, poprzez jego niewłaściwe zastosowanie polegające na przyjęciu, że okoliczności faktyczne potwierdzają stwierdzone przez Prezesa UODO nieuprawnione udostępnienie danych w rozumieniu art. 6 ust. 1 RODO, podczas gdy żaden z faktów ustalonych lub znanych Prezesowi UODO nie uzasadniał kwalifikacji działań administratora jako udostępnienie lub ujawnienie danych osobowych podmiotom trzecim, zaś żadne z działań lub zaniechań administratora, analizowanych przez Prezesa UODO nie mieściło się w granicach pojęcia przetwarzania, o którym mowa w art. 4 pkt 2 RODO;
2. naruszenie przepisów prawa materialnego, tzn. art. 6 ust. 1 RODO, polegające na przyjęciu nieprawidłowej i budzącej wątpliwości wykładni, z której wynika, że art. 6 ust 1 RODO miał w niniejszej sprawie zastosowanie w zakresie podstawy prawnej udostępnienia danych, podczas gdy incydent polegający na cyberataku na bazę danych oraz uzyskanie dostępu do niej przez nieznaną osobę trzecią nie oznacza, że Skarżąca udostępniła dane osobowe na rzecz nieznanej osoby trzeciej, zaś przyjęta przez WSA wykładnia pozbawia prawo waloru przewidywalności, tzn. nie pozwala skarżącej zrozumieć odpowiedzi na pytanie, jakie działanie skarżącej byłoby zgodne z prawem, to znaczy jak skarżąca powinna się zachować, aby nie doszło do naruszenia art. 6 ust. 1 RODO;
3. naruszenie przepisów prawa materialnego, tj. art. 6 ust. 1 w zw. z art. 4 pkt 12 RODO, poprzez jego niewłaściwe zastosowanie polegające na braku uwzględnienia różnicy między nieuprawnionym ujawnieniem lub udostępnieniem danych osobowych, który stanowi czynność przetwarzania, a naruszeniem ochrony danych, o którym mowa w art. 4 pkt 12 RODO, który nie stanowi czynności przetwarzania danych, i w efekcie błędne przyjęcie, że sam fakt włamania się przez cyberprzestępcę do bazy danych stanowi bezprawne udostępnienie mu tych danych przez administratora;
4. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 58 ust. 2 lit. b RODO i z art. 77 § 4 i art. 80 k.p.a., polegające na błędnym przyjęciu, że w ustalonym stanie faktycznym zasadnym było udzielenie administratorowi upomnienia, podczas gdy ani nie zaistniały żadne okoliczności uzasadniające udzielenie upomnienia, ani treść upomnienia nie wskazuje, jakich działań oczekuje się od skarżącej, aby przywrócić stan zgodny z prawem, usunąć skutki naruszenia, lub zapobiec występowaniu naruszeń w przyszłości;
5. naruszenie przepisów prawa materialnego, tj. art. 28 ust. 10 RODO, poprzez jego niewłaściwe zastosowanie polegające na błędnym przyjęciu, że w razie nieuprawnionego udostępnienia danych przez podmiot przetwarzający działający poza poleceniem administratora, to administrator narusza art. 6 ust. 1 RODO, podczas gdy art. 28 ust. 10 RODO wprost stanowi, że jeżeli podmiot przetwarzający naruszy RODO przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania;
6. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 77 § 1 i art. 80 k.p.a., poprzez błędne przyjęcie, że Prezes UODO rozpatrzył cały materiał dowodowy, podczas gdy wydając decyzję, Prezes UODO w ogóle nie rozgraniczył roli podmiotu przetwarzającego i administratora, przypisując skarżącej odpowiedzialność za działania lub zaniechania znajdujące się poza jej kontrolą;
7. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c P.p.s.a. w zw. z art. 7 k.p.a., poprzez błędne przyjęcie, że do wydania decyzji stwierdzającej naruszenie art. 6 ust. 1 RODO przez administratora wystarczyło ustalenie samego faktu wystąpienia wycieku danych po stronie podmiotu przetwarzającego, bez zbadania i oceny poziomu zabezpieczeń stosowanych przez administratora i podmiot przetwarzający, jak również oceny roli administratora w samym zdarzeniu;
8. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 §1 pkt 1 lit. c P.p.s.a. w zw. z art. 7 i art. 8 § 1 k.p.a., polegające na błędnym przyjęciu za bezsporny fakt, że nastąpiło nieuprawnione ujawnienie i udostępnienie danych uczestnika postępowania osobie trzeciej, podczas gdy bezsporne jest jedynie wystąpienie cyberataku i nieuprawnionego dostępu do danych, zaś administrator nie dokonał żadnej czynności przetwarzania polegającej na ujawnieniu lub udostępnieniu danych uczestnika postępowania osobie trzeciej;
9. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c i art. 145 § 3 P.p.s.a. w zw. z art. 61a § 1, art. 104 § 1 i art. 105 § 1 k.p.a., polegające na błędnym przyjęciu, że osoba, której dane dotyczą, przez sam fakt objęcia jej danych incydentem bezpieczeństwa, miała prawo domagać się od Prezesa UODO rozpatrzenia jej sprawy i stwierdzenia naruszenia przepisów RODO w zakresie przetwarzania jej danych osobowych, podczas gdy nie zgromadzono żadnych dowodów wskazujących na naruszenie art. 6 ust. 1 RODO przez skarżącą, w związku z czym nie należało wszczynać odrębnego postępowania w sprawie tego samego naruszenia, co do którego prowadzono postępowanie z urzędu, zaś po dodatkowym potwierdzeniu tego faktu w toku postępowania, postępowanie należało umorzyć lub odmówić uwzględnienia wniosku;
10. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c i art. 145 § 3 P.p.s.a. w zw. z art. 6, 7, 8 §1 k.p.a., art. 77 § 1 i 4 k.p.a. oraz art. 80 i art. 97 § 1 pkt 4 k.p.a., polegające na błędnym przyjęciu, że postępowanie, które Prezes UODO prowadził w sprawie tego samego naruszenia z urzędu (sygn. DKN.5130.1354.2020.MM sprawa na etapie NSA, sygn. akt III OSK 669/22) dotyczyło innej materii (środków bezpieczeństwa stosowanych przez administratora) niż decyzja w niniejszej sprawie (podstaw prawnych przetwarzania), podczas gdy w toku postępowania prowadzonego z urzędu Prezes UODO badał całokształt okoliczności tego samego naruszenia ochrony danych i całościowo oceniał zgodność z prawem działań i zaniechań administratora, co w efekcie doprowadziło do wielokrotnego rozstrzygania i stosowania uprawnień naprawczych w odniesieniu do tego samego naruszenia ochrony danych, przy jednoczesnym nieuwzględnieniu faktów znanych Prezesowi UODO z urzędu;
11. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. a i c P.p.s.a. w zw. z art. 7, art. 77 § 1 i 4 oraz art. 78 § 1 k.p.a., poprzez nieuchylenie zaskarżonej decyzji, w której Prezes UODO jednocześnie zaniechał zbadania zabezpieczeń stosowanych przez skarżącą i podmiot przetwarzający i, mimo wniosku skarżącej, nie uwzględnił ustaleń faktycznych i prawnych poczynionych przez Prezesa UODO w decyzji z 17 grudnia 2020 r., sygn. DKN.5130.1354.2020.MM (sprawa na etapie NSA, sygn. akt III OSK 669/22), mimo że ustalenia faktyczne z ww. decyzji co do zasady nie są sporne, zaś w toku tego postępowania, mimo takiego samego stanu faktycznego Prezes UODO nie stwierdził naruszenia art. 6 ust. 1 RODO przez skarżącą, co jest prawomocne i nie będzie przedmiotem rozważań NSA, ponieważ decyzja jest prawomocna w części umarzającej postępowanie w pozostałym zakresie (postępowanie przed NSA dotyczy naruszeń innych przepisów niż art. 6 ust. 1 RODO);
12.naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. a i c P.p.s.a., polegające na zaniechaniu uchylenia zaskarżonej decyzji, pomimo stwierdzenia przez WSA, że Prezes UODO nie przeprowadził postępowania dowodowego w zakresie zabezpieczeń stosowanych przez administratora i podmiot przetwarzający, nie uwzględnił znanych z urzędu faktów o ww. zabezpieczeniach, w tym faktu, że ten sam organ wydał decyzję oceniającą te zabezpieczenia i nie stwierdzającą w tym zakresie naruszeń, oraz że dokonał nieprawidłowej kwalifikacji prawnej, wskazując na związek naruszenia art. 6 ust. 1 RODO z art. 5 ust. 1 lit. f RODO, podczas gdy w sprawie w ogóle nie badano wątku stosowania środków bezpieczeństwa;
13.naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 2 i art. 141 § 4 P.p.s.a. oraz art. 45 ust. 1 Konstytucji RP, polegające na zaniechaniu rozpatrzenia przez Sąd części argumentów i zarzutów strony skarżącej, co pozbawiło skarżącą prawa do rzetelnego i sprawiedliwego rozpoznania sprawy;
14.naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. a i c P.p.s.a. w zw. z art. 8 § 2 k.p.a., polegające na braku uchylenia zaskarżonej decyzji Prezesa UODO, mimo że: a) nie zaistniały przesłanki do udzielenia skarżącej upomnienia, b) nie zaistniały przesłanki do stwierdzenia przez skarżącą naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, ani też c) nie występowała procesowa możliwość wydania takiej decyzji w sytuacji, gdy uczestnik postępowania, składając skargę do Prezesa UODO nie wniósł o udzielenie skarżącej upomnienia lub o stwierdzenie niezgodności z prawem jej działań, zaś d) utrwalona praktyka rozstrzygania spraw w podobnym stanie faktycznym i prawnym jest całkowicie odmienna.
Wskazując na powyższe zarzuty wniesiono o:
1. zmianę zaskarżonego wyroku na uchylający zaskarżoną decyzję i umarzający postępowanie przed Prezesem UODO, a w razie odrzucenia tego wniosku, o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie;
2. zasądzenie zwrotu kosztów postępowania w obu instancjach według norm przepisanych;
3. rozpoznanie skargi kasacyjnej na rozprawie, a w miarę możliwości organizacyjnych - rozpatrzenie niniejszej sprawy jednocześnie z pozostałymi sprawami dotyczącymi tego samego naruszenia ochrony danych (wszystkie sprawy, których stroną jest I. Sp. z o.o. w likwidacji), w tym z głównym postępowaniem prowadzonym przez Prezesa UODO z urzędu - sygn. przed NSA: III OSK 669/22.
W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.
Pismem z dnia 14 października 2022 r. pełnomocnik spółki wniósł replikę na odpowiedź na skargę kasacyjną.
Naczelny Sąd Administracyjny zważył, co następuje:
Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2024 r., poz. 935 ze zm.), dalej jako "P.p.s.a.", Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 P.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku.
W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych. Skarga kasacyjna jest uzasadniona.
Jako pierwsze rozpoznane zostaną zarzuty najdalej idące określone w pkt. 9 -10, które okazały się częściowo zasadne. Ich istota sprowadza się do zarzucenia Sądowi pierwszej instancji akceptacji działania organu nadzoru, który zaniechał przeprowadzenia jednego postępowania wszczętego z urzędu obejmującego całość zdarzenia, a w to miejsce prowadził szereg rozproszonych postępowań dotyczących tej samej materii.
Wskazać należy, że przedmiotem tej sprawy jest incydent naruszenia danych osobowych określonej osoby fizycznej, których administratorem jest I. Sp. z o.o. w likwidacji w W. Zdarzenie polegało na braku ich zabezpieczenia w dniach 3-14 marca 2020 r. przez podmiot przetwarzający [...] w Mińsku (Białoruś), z którym administrator, tj. I. Sp. z o.o. w likwidacji w W. zawarł 2 marca 2018 r. umowę powierzenia przetwarzania danych osobowych. Incydent ten był przedmiotem postępowania wszczętego z urzędu przez Prezesa Urzędu Ochrony Danych Osobowych, zakończonego wydaniem decyzji z dnia 17 grudnia 2000 r. nr DKN.5130.1354.2020.104813, której punkt 1 został następnie uchylony wyrokiem WSA w Warszawie z 5 października 2021 r. (sygn. akt II SA/Wa 528/21). Skargę kasacyjną od tego wyroku Naczelny Sąd Administracyjny oddalił wyrokiem z dnia 18 czerwca 2025 r. (sygn. akt III OSK 669/22). Jednocześnie osoby dotknięte powyższym incydentem skorzystały ze środka prawnego, o którym mowa w art. 77 ust. 1 RODO. Prezes Urzędu Ochrony Danych Osobowych w tych sprawach wszczął odrębne postępowania i w każdym z nich korzystając ze swojego uprawnienia naprawczego udzielił – I. Sp. z o.o. w likwidacji w W. upomnienia za naruszenie wskazanych w treści decyzji przepisów RODO za czyn polegający na udostępnieniu bez podstawy prawnej danych osobowych indywidualnie oznaczonej osoby. Skargi do WSA w tych sprawach wnosił administrator danych – I. Sp. z o.o. w likwidacji w W., a sądy administracyjne pierwszej instancji albo oddalały skargi, albo uchylały zaskarżoną decyzję i umarzały postępowanie przed PUODO.
Zarzuty skargi kasacyjnej objęte punktami 9 i 10 kwestionują umocowanie prawne dla stanowiska Sądu pierwszej instancji, zgodnie z którym wszczęcie postępowania w związku ze zgłoszeniem administratora danych osobowych naruszenia zasad ich przetwarzania dokonanego na podstawie art. 33 ust. 1 RODO nie stoi na przeszkodzie w prowadzeniu odrębnego postępowania wszczętego w związku ze złożeniem indywidualnej skargi do organu nadzorczego na nieprawidłowości w procesie przetwarzania danych osobowych. Sąd pierwszej instancji uznał tym samym za odpowiadające prawu prowadzenie odrębnych postępowań w przedmiocie rozpoznania skarg osób fizycznych, jeśli prowadzone jest postępowanie główne mające na celu ustalenie odpowiedzialności administracyjnej za naruszenie obowiązków administratora związanych z przetwarzaniem danych osobowych, wynikających z przepisów RODO.
Naczelny Sąd Administracyjny stoi na stanowisku, że konieczne jest wszczęcie i przeprowadzenie jednego postępowania przez Prezesa Urzędu Ochrony Danych Osobowych, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej na podmiot odpowiedzialny w związku ze zdarzeniem naruszenia danych osobowych polegającym na braku zabezpieczenia danych klientów administratora w dniach 3-14 marca 2020 r. przez podmiot przetwarzający [...] w Mińsku (Białoruś), z którym administrator, tj. I. Sp. z o.o. w likwidacji w W. zawarł w dniu 2 marca 2018 r. umowę powierzenia przetwarzania danych osobowych.
Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Z kolei przepis art. 77 ust. 1 RODO stanowi, że bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
O ile więc przepis art. 33 ust. 1 RODO nakłada obowiązek prawny na administratora danych osobowych zgłoszenia organowi nadzoru naruszenia ochrony danych osobowych, określa sytuację, w której ten obowiązek powstaje oraz termin jego dopełnienia, o tyle przepis art. 77 ust. 1 RODO reguluje uprawnienie osoby, której dane osobowe są przetwarzane, do złożenia skargi do organu nadzoru, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza przepisy RODO. Żaden z tych przepisów nie odnosi się do zagadnienia procesowego związanego z wszczęciem postępowania kontrolnego oraz ile postępowań należy prowadzić w związku z danym incydentem.
Zadania organu nadzoru, w tym zadania związane z prowadzeniem postępowań normowanych przez RODO uregulowane zostały w przepisie art. 57 ust. 1 RODO, który m.in. w lit. f wskazuje, że organ nadzoru rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym. Przepisy art. 57 ust. 1 RODO milczą natomiast w przedmiocie postępowania wszczynanego w związku ze zgłoszeniem, o którym mowa w art. 33 ust. 1 RODO. Dodać należy, że w przypadku naruszenia ochrony danych osobowych badana może być kwestia właściwej ochrony przetwarzania danych osobowych, a zatem realizacji obowiązków administratora, o których mowa m.in. w art. 5 ust. 1 RODO. Musi to prowadzić do konkluzji, iż regulacja z art. 57 ust. 1 RODO jest niewyczerpująca i wymienia przykładowe rodzaje zadań i ewentualnych postępowań kontrolnych.
Autor skargi kasacyjnej stoi na stanowisku, iż postępowanie związane z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO dotyczy tej samej materii, co postępowania inicjowane indywidualnymi skargami, o których stanowi art. 77 ust. 1 RODO. Wyrażenie językowe "tej samej lub innej materii" ma charakter nienormatywny, ani także nie nawiązuje do doktrynalnego pojęcia przedmiotu postępowania. Analiza uzasadnienia zaskarżonego wyroku prowadzić może do konkluzji, że postępowanie nakierowane na ustalenie, czy doszło do realizacji obowiązków administratora ma odrębny przedmiot od postępowań wszczynanych wskutek indywidualnych skarg, gdyż ich zakres dotyczy wyłącznie kwestii ochrony indywidualnych danych, a nie zagadnień zabezpieczeń danych osobowych. Ocenę te należy podzielić tylko w części. Można założyć, iż dojść może do naruszenia ochrony danych osobowych, mimo dopełnienia przez administratora swoich obowiązków wynikających z RODO. Może także dojść do sytuacji, w których oba przedmioty będą pozostawać w związku, gdyż naruszenie obowiązków administratora doprowadzi do naruszenia ochrony danych osobowych. Wówczas przedmioty obu postępowań choć nie będą takie same, będą jednak pozostawać ze sobą w takim związku, iż nieuzasadnione będzie prowadzenie odrębnych postępowań wszczętych w związku z indywidualnymi skargami, o których mowa w art. 77 ust. 1 RODO. Przypadek taki będzie mieć miejsce wówczas, gdy naruszenie obowiązków administratora, o których mowa m.in. w przepisach art. 5 ust. 1 i art. 32 RODO prowadzi do naruszenia ochrony danych osobowych, co wiąże się z potrzebą nałożenia kary administracyjnej. W takich przypadkach wyjaśnienie zagadnienia niedopełnienia obowiązków administratora będzie równoznaczne z wyjaśnieniem okoliczności naruszenia zasad przetwarzania danych osobowych konkretnej osoby jako skutku lub następstwa niedopełnienia tych obowiązków. W takich sytuacjach mnożenie postępowań administracyjnych jest niedopuszczalne, gdyż celem i przedmiotem obu postępowań jest nałożenie kary administracyjnej. W tych sprawach nie jest jednak wykluczone skorzystanie przez osoby indywidualne ze środka prawnego, o którym mowa w art. 77 ust. 1 RODO, np. po wydaniu ostatecznej decyzji w postępowaniu związanym z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO. Wynika to z prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu ustanowionego w art. 47 Karty Praw Podstawowych Unii Europejskiej z 7 grudnia 2000 r. (Dz. U. UE C z dnia 14 grudnia 2007 r.), z którego treści wywieść należy, że jeśli sąd wydał wyrok wiążący erga omnes, ale osoba, której prawa zostały naruszone, nie uczestniczyła w tym postępowaniu, to ma ona prawo do środka odwoławczego z pominięciem mocy wiążącej takiego wyroku zapadłego w sprawie "głównej". Przepis art. 47 Karty Praw Podstawowych Unii Europejskiej ma charakter uniwersalny i odnosi się do wszystkich uprawnień wynikających z prawa UE, również do uprawnień osób, których dane osobowe są przetwarzane niezgodnie z przepisami RODO.
Ponadto, jeżeli naruszenie praw wielu osób jest skutkiem jednego stanu faktycznego (jednego naruszenia), to należy przyjąć, że jest to jedna sprawa materialna w rozumieniu Kodeksu postępowania administracyjnego. Na przedmiot sprawy administracyjnej składa się element przedmiotowy (stan faktyczny) oraz podmiotowy (osoby, których dane zostały udostępnione). Jeśli do naruszenia RODO doszło na skutek jednego zdarzenia, to jego konsekwencje dotyczą interesu prawnego wielu osób. To stanowisko wspiera wykładnia systemowa. Motyw 20 RODO mówi o rozpatrywaniu przez organy nadzorcze skarg "związanych z operacjami przetwarzania danych". Podobnie motyw 131 RODO wskazuje na ujęcie przedmiotowe, postępowanie prowadzone jest wobec czynności przetwarzania ( "Jeżeli funkcję wiodącego organu nadzorczego wobec czynności przetwarzania prowadzonych przez administratora lub podmiot przetwarzający powinien pełnić inny organ nadzorczy, ale konkretny przedmiot skargi lub ewentualnego naruszenia dotyczy wyłącznie czynności przetwarzania prowadzonych przez administratora"). Tym samym, naruszenie ochrony danych (zdarzenie, incydent) powinno spotkać się z jedną reakcją organu nadzorczego, tym bardziej, że liczba osób poszkodowanych naruszeniem jest okolicznością obciążającą administratora. Wydana decyzja będzie miała wpływ na prawa wszystkich podmiotów objętych naruszeniem i osoby te powinny mieć prawo do kwestionowania stanowiska Prezesa Urzędu Ochrony Danych Osobowych. Szczególnie jeśliby w ocenie organu nie doszło do naruszenia, osoby poszkodowane powinny mieć możliwość zaskarżenia decyzji "głównej", która w innym przypadku miałaby charakter wiążący i stałaby na przeszkodzie realizacji indywidualnych uprawnień wynikających z prawa UE. Sytuacja, w której organ prowadzi postępowanie główne z pominięciem osób poszkodowanych, z pewnością naruszałaby standard proceduralny wynikający z art. 47 Karty Praw Podstawowych Unii Europejskiej, do której to regulacji przepisy RODO zresztą się odwołują.
Kolejnym argumentem przemawiającym za powyższym stanowiskiem jest treść przepisu art. 83 ust. 2 RODO, a w szczególności jego litery "a". Przepis ten wskazuje na okoliczności, które winny przemówić za nałożeniem administracyjnej kary pieniężnej oraz określa dyrektywy ustalenia jej wysokości. Wśród tych dyrektyw jako jedna z najważniejszych wskazana jest liczba poszkodowanych osób, których dane dotyczą. Wywieść z tego przepisu należy wniosek, że liczba poszkodowanych osób warunkuje ukaranie administracyjną karą pieniężną oraz determinuje wysokość takiej kary. Wyłączenie do odrębnego rozpoznania spraw, w których osoby indywidualne wniosły skargi do organu nadzoru ma ten skutek, że pomniejsza liczbę osób poszkodowanych w sprawie głównej mającej za przedmiot dany incydent związany z niewłaściwym przetwarzaniem danych osobowych, naruszeniem obowiązków administratora. Prowadzenie odrębnych postępowań w odniesieniu do skarg indywidualnych skutkuje więc tym, że nie będą one uwzględnione w liczbie osób poszkodowanych branych pod rozwagę przy podejmowaniu decyzji w przedmiocie nałożenia administracyjnej kary pieniężnej i jej wysokości w sprawie głównej. Jest to też częściowo konsekwencją wątpliwości co do sensowności wielokrotnego upominania administratora za ten sam incydent.
Swoiste "rozparcelowanie" jednego incydentu tego rodzaju jaki jest przedmiotem niniejszej sprawy na wiele postępowań w przedmiocie nałożenia odpowiedzialności administracyjnej może prowadzić do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiarów poniesionych szkód. Taka decyzja procesowa organu prowadzi w gruncie rzeczy do naruszenia zasad i reguł postępowania wyjaśniającego, w tym przede wszystkim art. 7, art. 77 § 1 i art. 80 k.p.a., gdyż wówczas sprawa konkretnego incydentu zasadniczo nie może być prawidłowo wyjaśniona przy uwzględnieniu wszystkich jego okoliczności faktycznych. Wyłączenie bowiem pewnych fragmentów zdarzenia powoduje ich wykluczenie z generalnego budowania obrazu każdej indywidualnej sprawy związanej z naruszeniem przepisów RODO.
Naczelny Sąd Administracyjny stoi na stanowisku, że kwestia odpowiedzialności administracyjnej administratora lub podmiotu przetwarzającego dane osobowe nie jest uregulowana w sposób jednolity w przepisach RODO i jest determinowana przez następujące czynniki. Przede wszystkim zakres odpowiedzialności administratora lub podmiotu przetwarzającego zależą od tego, czy umowa lub inny instrument prawny na podstawie którego nastąpiło przekazanie przez administratora przetwarzania danych podmiotowi przetwarzającemu dane podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora (art. 28 ust. 3 RODO). Należy to rozumieć w ten sposób, iż taka umowa lub instrument muszą podlegać prawu UE lub prawu państwa członkowskiego, jak również administrator i podmiot przetwarzający muszą podlegać prawu UE lub prawu państwa członkowskiego, tj. pozostawać w zakresie jego jurysdykcji. Wówczas możliwe jest rozważanie zagadnienia odrębnej oceny odpowiedzialności administratora danych osobowych oraz odrębnej odpowiedzialności podmiotu przetwarzającego za ewentualne naruszenie przepisów RODO, w tym odpowiedzialności administracyjnej. W takiej sytuacji odpowiedzialność administratora może zostać ograniczona np. do oceny dopełnienia obowiązków z art. 28 ust. 1 RODO na etapie zawierania umowy.
Z kolei w sytuacjach, gdy administrator podlegający prawu UE lub prawu państwa członkowskiego i jego jurysdykcji zawiera umowę o powierzenie przetwarzania danych osobowych, która nie podlega prawu UE lub państwa członkowskiego lub z podmiotem, który nie podlega jurysdykcji państwa członkowskiego UE, wówczas ponosi on odpowiedzialność obiektywną za wszystkie czynności przetwarzania danych osobowych dokonywane przez taki podmiot przetwarzający. Wniosek taki możliwy jest do wyprowadzenia w drodze wykładni językowej przepisu art. 5 ust. 2 RODO, który dochowanie zasad i obowiązków przetwarzania danych osobowych, a następnie odpowiedzialności z tym związanej wiąże z administratorem danych, jak również wykładni systemowej całości przepisów RODO, które nakierowane są na ochronę danych osobowych oraz skuteczne egzekwowanie każdego naruszenia prawa do ochrony danych osobowych. W przypadku naruszenia zasad przetwarzania danych osobowych wynikających z RODO lub innych przepisów państwa członkowskiego odpowiedzialność ponosi administrator danych osobowych, chyba że możliwe będzie przypisanie takiej odpowiedzialności innemu podmiotowi zaangażowanemu w przetwarzanie danych osobowych na zasadach wynikających z RODO (lub przepisów prawa państwa członkowskiego), a następnie jej skuteczne wyegzekwowanie zgodnie z przepisami RODO. To zaś oznacza, że przejęcie obowiązków administratora przez podmiot przetwarzający musi nastąpić na podstawie umowy lub instrumentu prawnego regulowanego przepisami RODO lub przepisami państwa członkowskiego UE i jednocześnie przez podmiot przetwarzający, który podlega jurysdykcji państwa członkowskiego UE, tak aby możliwe było pociągnięcie go do odpowiedzialności prawnej wynikającej z RODO lub przepisów prawa państwa członkowskiego. Przez powyższe ustalenia należy interpretować przepis art. 83 ust. 2 lit. d RODO, gdyż w przeciwnym razie niemożliwe byłoby osiągnięcie celów odpowiedzialności administracyjnej, w tym celów nakładania administracyjnych kar pieniężnych, których zastosowanie za naruszenie przepisów RODO winno być skuteczne, proporcjonalne i odstraszające.
Nie sposób zatem zaakceptować poglądu wyrażonego przez WSA w Warszawie w sprawie "głównej" w uzasadnieniu pisemnym wyroku z dnia 5 października 2021 r., sygn.. akt II SA/Wa 528/21, w którym wskazano m.in. (...) Trzeba podkreślić, że podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 rozporządzenia). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowiązków kierowanych do administratora i do podmiotu przetwarzającego (np. art. 32 ust. 1) są ich prawnie wyznaczone funkcje. Według rozporządzenia funkcją administratora danych jest samodzielne lub wspólnie z innymi ustalanie celów i sposobów przetwarzania danych osobowych (art. 4 pkt 7 rozporządzenia). Do podmiotu przetwarzającego należy natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, że na każdym z tych podmiotów ciążą obowiązki dotyczące zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w piśmiennictwie. W komentarzu do art. 5 ust. 2 rozporządzenia formułującego ogólną zasadę odpowiedzialności administratora danych za przestrzeganie przepisów rozporządzenia dotyczących przetwarzania danych osobowych wyrażono pogląd, że w przypadku powierzenia przetwarzania danych osobowych, obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia spoczywają na podmiocie przetwarzającym (przywołano publikację: Ogólne rozporządzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz pod red. P. Litwińskiego, Warszawa 2021, s. 164). Przedstawione rozważania uzasadniają stwierdzenie, że w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu egzekwowanie odpowiedzialności za naruszenia powstałe w procesie przetwarzania nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia. Świadczą o tym również określone w rozporządzeniu zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów rozporządzenia (art. 83). Tej odpowiedzialności administracyjnej podlegają administrator danych i podmiot przetwarzający. Jedna z dyrektyw nakładania tych kar stanowi, że podjęcie decyzji o nałożeniu kary i ustaleniu jej wysokości wymaga zwrócenia uwagi w każdym indywidualnym przypadku na stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d)".
W związku z tym za pozbawione podstaw uznać należy zarzuty z punktów 5-8, których istota wiąże się z próbą uchylenia się przez administratora danych osobowych za naruszenie zasad ich przetwarzania i przyjęcia założenia, że odpowiedzialność ta spoczywa na gruncie okoliczności faktycznych niniejszej sprawy na podmiocie przetwarzającym. Naczelny Sąd Administracyjny stoi na stanowisku, że w związku z powierzeniem funkcji podmiotu przetwarzającego dane osobowe podlegającemu jurysdykcji Białorusi zachodzi pełna odpowiedzialność administratora danych osobowych, którym jest skarżąca Spółka, a w konsekwencji rozważanie, czy to administrator prowadził procesy przetwarzania danych osobowych i czy miało to miejsce bez podstawy prawnej w tym kontekście nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialności w zakresie administracyjnej kary pieniężnej. Wyprowadzenie procesu przetwarzania danych osobowych poza kraje, w których obowiązują przepisy RODO oraz na rzecz podmiotu, który nie podlega jurysdykcji państwa członkowskiego UE było świadomym działaniem administratora, stąd dla zachowania realizacji praw podmiotowych osób podlegających ochronie przepisów RODO i skuteczności tych przepisów konieczne jest przyjęcie takiego stanowiska.
Zdaniem Naczelnego Sądu Administracyjnego uzasadnione są zaś zarzuty 9 i 10. Wyrok w rozpoznawanej sprawie nie odpowiada prawu, a w związku z incydentem ujawnienia danych osobowych klientów I. Sp. z o.o. w likwidacji w W. przez podmiot przetwarzający dane zachodzi potrzeba prowadzenia jednego postępowania w odniesieniu do całości zdarzenia naruszenia zasad przetwarzania danych osobowych. Sprawa powinna zostać rozpoznana ponownie, w jej ramach winno dojść do połączenia w jedną sprawę sprawy głównej, w której wydana została przez Prezesa Urzędu Ochrony Danych Osobowych decyzja z dnia 17 grudnia 2000 r. nr DKN.5130.1354.2020.104813, jak również wszystkich innych spraw prowadzonych w związku ze skorzystaniem przez osoby, których dane osobowe zostały naruszone, ze środka w postaci indywidualnej skargi do organu nadzoru. Osoby takie powinny uzyskać status stron takiego postępowania. W jego ramach winno dojść do wyjaśnienia wszystkich istotnych okoliczności sprawy, jaki i zapewnienia praw procesowych stronom postępowania, a następnie wydania decyzji orzekającej o konsekwencjach administracyjnoprawnych odnoszących się do całości incydentu.
W związku z przyjęciem przez Naczelny Sąd Administracyjny takiego stanowiska rozpoznanie pozostałych zarzutów byłoby przedwczesne.
Mając na względzie powyższe rozważania, Naczelny Sąd Administracyjny na podstawie art. 188 P.p.s.a. uchylił zaskarżony wyrok i uznając, że istota sprawy jest dostatecznie wyjaśniona rozpoznał skargę.
Przedstawione wyżej przez Naczelny Sąd Administracyjny stanowisko, powoduje konieczność uchylenia zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. a) i c) P.p.s.a. (orzeczenie jak w punkcie pierwszym sentencji wyroku). Rozstrzygnięcie to ma charakter pochodny ale jest także konsekwencją stwierdzenia, że w postępowaniu przed organem nadzoru doszło do naruszenia podstawowych zasad postępowania wyjaśniającego, co wymaga ponownego jego przeprowadzenia. Konieczne jest bowiem połączenie niniejszej sprawy do wspólnego rozpoznania ze sprawą, w której wydana została decyzja z dnia 17 grudnia 2000 r. nr DKN.5130.1354.2020.104813. Sprawy te powinny być prowadzone łącznie ze wszystkimi sprawami zainicjowanymi skargami indywidualnymi, w tym ze sprawami, w których skargę kasacyjną wniosła I. Sp. z o.o. w likwidacji w W. (sprawy, w których Prezes Urzędu Ochrony Danych Osobowych udzielił spółce upomnienia).
O zwrocie kosztów postępowania sądowego od Prezesa Urzędu Ochrony Danych Osobowych na rzecz I. Sp. z o.o. w likwidacji w W. orzeczono jak w punkcie drugim sentencji wyroku na podstawie art. 203 pkt 1 w zw. z art. 205 § 2 P.p.s.a.