III OSK 2496/22

III OSK 2496/22 - Wyrok NSA
Data orzeczenia
2025-06-18
orzeczenie prawomocne
Data wpływu
2022-10-14
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Paweł Mierzejewski
Rafał Stasikowski /sprawozdawca/
Zbigniew Ślusarczyk /przewodniczący/
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i zaskarżoną decyzję
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Zbigniew Ślusarczyk Sędziowie sędzia NSA Rafał Stasikowski (spr.) sędzia del. WSA Paweł Mierzejewski Protokolant starszy asystent sędziego Agnieszka Kozik po rozpoznaniu w dniu 18 czerwca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 czerwca 2022 r. sygn. akt II SA/Wa 3752/21 w sprawie ze skargi [...] w likwidacji z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 września 2021 r. nr DS.523.3013.2020.FT.MI.141585 w przedmiocie przetwarzania danych osobowych 1. prostuje z urzędu komparycję i sentencję w wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 23 czerwca 2022 r. sygn. akt II SA/Wa 3752/21 w ten sposób, że wpisuje dwukrotnie zamiast nazwy "[...] w likwidacji z siedzibą w W." prawidłową nazwę "[...] w likwidacji z siedzibą w W."; 2. uchyla zaskarżony wyrok i zaskarżoną decyzję; 3. zasądza od [...] w likwidacji z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 1000 (słownie: jeden tysiąc) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wyrokiem z 23 czerwca 2022 r., II SA/Wa 3752/21, Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu skargi [...] w likwidacji z siedzibą w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 30 września 2021 r., nr DS.523.3013.2020.FT.MI.141585, w przedmiocie przetwarzania danych osobowych: 1. uchylił zaskarżoną decyzję, 2. umorzył postępowanie przed Prezesem UODO ze skargi K. B., 3. zasądził od Prezesa UODO na rzecz skarżącej spółki kwotę 697 zł tytułem zwrotu kosztów postępowania.
Wyrok zapadł w następujących okolicznościach faktycznych i prawnych.
Decyzją z 30 września 2021 r. Prezes UODO, przywołując art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L. nr 119. str. 1, ze zm.; dalej "RODO"), wobec skargi K. B. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] w likwidacji, udzielono spółce upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu bez podstawy prawnej danych osobowych wnioskodawcy podmiotom nieuprawnionym.
W uzasadnieniu organ wskazał, że do organu wpłynęła skarga wnioskodawcy na udostępnienie przez spółkę jego danych osobowych podmiotom nieuprawnionym. Wnioskodawca wskazał w skardze, że spółka - bez jego wiedzy i zgody - udostępniła w dniach 3-14 marca 2020 r. jego dane osobowe podmiotom nieuprawnionym. Spółka przetwarza dane osobowe wnioskodawcy od 26 listopada 2018 r. - dnia, w którym zarejestrował się na stronie [...] oraz zawarł ze spółką ramową umowę pożyczki. Zakres przetwarzanych danych osobowych wnioskodawcy obejmuje: imię, nazwisko, PESEL, serię i numer dokumentu tożsamości, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zamieszkania czy korespondencyjny, adres zameldowania, adres e-mail, numer telefonu komórkowego, numer telefonu pracodawcy, nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób na pozostających utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...].
Spółka wskazała, że na podstawie umowy z 2 marca 2018 r. w przedmiocie powierzenia przetwarzania danych osobowych udostępniła dane osobowe wnioskodawcy [...] - podmiotowi należącemu do tej samej grupy kapitałowej co spółka, odpowiadającemu m.in. za obsługę strony internetowej ([...]), w tym aplikacji służącej do składania wniosków o pożyczkę oraz systemu obsługi klienta. Spółka wyjaśniła, że w wyniku błędu pracownika [...], polegającego na braku zabezpieczenia w dniach 3-14 marca 2020 r. danych osobowych wnioskodawcy, doszło do ich udostępnienia w zakresie: imię, nazwisko, PESEL, serię numer dokumentu tożsamości, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu komórkowego, poprzedni numer telefonu komórkowego (jeśli uległ zmianie), numer telefonu pracodawcy, adres e-mail osoby, której klient rekomendował pożyczkę (jeśli rekomendował), nazwę pracodawcy, zatrudnienie (rodzaj umowy), przychód miesięczny netto, źródło przychodu, ilość osób na pozostających utrzymaniu, stan cywilny, wykształcenie, hasło do profilu klienta na [...]. Jak wskazała spółka, wnioskodawcę poinformowano o zgłoszonym do Prezesa UODO incydencie za pośrednictwem: wiadomości SMS ze zmienionym hasłem wysyłanej 14-15 marca 2020 r., wiadomości e-mail – 14 marca 2020 r., wiadomości e-mail z 16 marca 2020 r., wiadomości SMS z dodatkowymi informacjami o zmianie hasła wysłanej 19 marca 2020 r., oraz poprzez zamieszczenie 18 marca 2020 r. informacji na stronie internetowej spółki w zakładce "Oświadczenie [...] na temat bezpieczeństwa danych osobowych".
W złożonych wyjaśnieniach spółka przyznała, że w wyniku błędu pracownika [...], z którą zawarła umowę powierzenia przetwarzania danych osobowych, polegającego na braku zabezpieczenia w dniach 3-14 marca 2020 r. danych osobowych wnioskodawcy doszło do udostępnienia danych osobie nieuprawnionej. Przy tym udostępnieniu nie spełniono żadnej z przesłanek legalizujących proces przetwarzania danych osobowych, określonych w art. 6 ust. 1 RODO. Organ wskazał, że w niniejszym postępowaniu, zainicjowanym indywidualną skargą, mógł oceniać wyłącznie legalność przetwarzania danych, natomiast ogólne praktyki stosowane przez administratora danych w procesach ich przetwarzania, w tym sposoby zabezpieczeń, jak również ich adekwatność oraz skuteczność, mogą być jedynie przedmiotem postępowania wszczętego przez organ z urzędu. Prezes UODO wskazał, że ocena organu służy w każdym przypadku zbadaniu zasadności skierowania pod adresem określonego podmiotu decyzji odpowiadającej dyspozycji art. 58 ust. 2 RODO w celu przywrócenia stanu zgodnego z prawem w procesie przetwarzania danych. Organ uznał, że w realiach niniejszej sprawy, z uwagi na charakter przedmiotowego udostępnienia, właściwe jest zastosowanie wobec spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych - art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f. Przetwarzanie danych osobowych wnioskodawcy, polegające ich na udostępnieniu w dniach 3-14 marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowiło naruszenie norm z zakresu ochrony danych osobowych.
Skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego
w Warszawie wniosła skarżąca spółka.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie.
Uwzględniając skargę, sąd I instancji wskazał, że zaskarżoną decyzję wydano z naruszeniem przepisów prawa materialnego, zakreślających reguły przetwarzania danych osobowych przez administratorów i zakresu stosowania przepisów dotyczących "naruszenia ochrony danych osobowych" oraz regulacji statuujących właściwość wyspecjalizowanego w sprawach ochrony danych osobowych organu – w kontekście stosowania przezeń przepisów sankcyjnych, w tym reguł ponoszenia odpowiedzialności administracyjnej oraz zasady pewności prawa. Zdaniem sądu trafne jest stanowisko strony skarżącej oraz podniesiony przez nią zarzuty, co do naruszenia przepisów prawa materialnego oraz ich uzasadnienie.
Zdaniem sądu I instancji w sprawie bezsporne są uwarunkowania faktyczne w tym zakresie, że powodem udzielenia zaskarżoną decyzją spółce upomnienia jest zdarzenie pozostające w związku z incydentem. Doszło wówczas do nielegalnego przejęcia danych osobowych (m.in. wnioskodawcy), których generalnie administratorem jest spółka, przez podmiot trzeci – nieuprawniony do tego, niedysponujący tytułem prawnym do przetwarzania danych zgromadzonych w zasobach [...] - powiązanej ze stroną skarżącą stosowną umową. Incydent - wobec zgłoszenia przez spółkę naruszenia ochrony danych osobowych, w myśl art. 33 ust. 1 RODO - był przedmiotem oceny w prowadzonym z urzędu postępowaniu zakończonym wydaniem decyzji o wymierzeniu spółce kary pieniężnej. Orzeczenie to zaskarżono do sądu administracyjnego, który nieprawomocnym wyrokiem je uchylił (II SA/Wa 528/21). Wobec takich ram faktycznych sprawy oraz stanowiska prezentowanego przez organ w zaskarżonej obecnie decyzji, kluczowe znaczenie ma ustalenie, czy zdarzenie polegające na wejściu w posiadanie bez podstawy prawnej przez osobę trzecią danych osobowych, których administratorem jest generalnie określony podmiot, może być rozumiane jako przetworzenie przezeń danych, w czym mieści się także udostępnienie (wedle definicji zawartej w art. 4 pkt 2 RODO). Zdaniem sądu odpowiedź na tak postawione pytanie musi być - na gruncie obowiązujących regulacji RODO - negatywna, mając na względzie zarówno proste reguły wykładni językowo-logicznej, jak i celowościowej czy systemowej. Sąd wskazał, że trafnie odnotowano w skardze, iż pojęcie "przetwarzania" opisuje czynność. Ze swej natury musi mieć ona swojego sprawcę. Jedną z form przetwarzania danych jest zaś "udostępnianie". Nie wydaje się logicznym, aby - z woli prawodawcy – tę samą operację przetworzenia mogły realizować równocześnie dwa podmioty, choćby możliwym było nadanie jej różnych nazw. Oznacza to, że konkretną operację musi być przypisana jednemu sprawcy, zaś kilku tylko gdy współdziałają. W ocenie sądu w tym kontekście w pełni trafne jest stanowisko spółki, zgodnie z którym incydent - w postaci utraty danych - nie stanowi żadnej operacji na tychże przeprowadzonej przez samego administratora. Przetworzenie danych – w postaci ich nielegalnego pozyskania - dokonał podmiot trzeci. Wyklucza to przyjęcie, jakoby doszło do przetworzenia danych przez spółkę jako administratora bez podstawy prawnej, jak kwalifikował to zdarzenie organ.
Zdaniem sądu I instancji prawidłowość odczytania znaczenia pojęcia "przetwarzania danych osobowych przez administratora", jako zdarzenia, które musi pozostawać w bezpośrednim związku z działaniami samego administratora, potwierdza normatywne znaczenie samego określenia "administrator", jakie przypisał mu prawodawca unijny. Jest nim mianowicie osoba, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (trak art. 4 pkt 7 RODO). Nie można więc uznać za czynność administratora zdarzenia, polegającego na nielegalnym uzyskaniu danych z jego zasobów. Odrębną kwestią jest ciążący na administratorze obowiązek zapewnienia integralność danych - ich właściwego zabezpieczenia. Rozumie się przez to zastosowanie środków adekwatnych do przewidywalnych zagrożeń (tak m.in. art. 5 ust. 1 lit. f i art. 32 RODO). Kwestii tej jednak nie badano w ogóle w danym postępowaniu, co wynika z uzasadnienia zaskarżonego aktu. Odrębną kwestią jest więc ocena, czy przetworzenie danych do jakiego doszło w trakcie incydentu było następstwem zaniedbania spółki - np. w zakresie zastosowania stosownych zabezpieczeń (gdyby sama zarządzała danymi), wyboru podmiotu zarządzającego czy innych - np. właściwej szybkiej reakcji, wobec ujawnienia incydentu. Kwestia ta była natomiast przedmiotem rozważań w sprawie zakończonej wydaniem przez organ odrębnej decyzji, na która skargę rozpatrywano pod sygn. akt II SA/Wa 528/21. W przedmiotowej sprawie jednak w danej kwestii organ w ogóle nie zajmował stanowiska. Jednocześnie zastosowany środek prawny – w postaci upomnienia - jest zupełnie nieadekwatny, na co zasadnie zwróciła uwagę spółka, gdy organ orzekał w całkowitym oderwaniu od realiów sprawy w kwestii przypisania spółce odpowiedzialności za ujawnione nieprawidłowości w postaci nieuprawnionego przetworzenia danych osobowych wnioskodawcy (w ramach incydentu).
W uzasadnieniu skarżonego aktu wskazano wprawdzie stan, który organ uznał za niepożądany, udzielając upomnienia. Określono go – zresztą błędnie - jako udostepnienie danych bez podstawy prawnej. Nie wskazano jednak czy i w jakim zakresie sama spółka uchyliła w istocie swoim obowiązkom - poza udostepnieniem danych, czego w istocie sama nie uczyniła. Z sentencji decyzji nie wynika jednoznacznie, czy podmiotem udostępniającym była w istocie spółka.
Sąd podniósł, że w takiej sytuacji wprowadzenie szeregu postępowań w tym samym przedmiocie - udostępnienia danych w następstwie incydentu - nie służy ani wyjaśnieniu jakichkolwiek wątpliwości (fakt nielegalnego pozyskania jest bezsporny), ani też eliminowaniu określonych nieprawidłowości w działaniu spółki, której udzielano upomnień. Nie wskazano bowiem, jakie zaniedbania można jej przypisać – skutkujące wedle organu udostępnieniem danych. Równocześnie, co trafnie zauważyła spółka, przypadek incydentu wyczerpuje znamiona zdarzenia opisywanego w RODO, jako naruszenie ochrony danych osobowych (tak art. 4 pkt 12). Zdaniem sądu I instancji prowadzenie postępowań w myśl regulacji dotyczącej tego rodzaju przypadków - wedle reguł rozdziału IV sekcji 2 RODO - stanowi regulację szczególną, wobec ogólnych reguł procedowania w następstwie skarg indywidualnych. Stanowisko takie wyraził też sąd w uzasadnieniu nieprawomocnego wyroku z 20 maja 2022 r. II SA/Wa 2742/21. Pogląd taki podzielał też organ w decyzji będącej przedmiotem kontroli sądowej w powołanej sprawie. Umorzono tam m.in. postępowanie w zakresie, w jakim wnoszący do organu skargę podnosił kwestie nielegalnego udostępnienia jego danych w wyniku innego incydentu. Skargę na tę decyzję oddalono.
Zdaniem sądu I instancji trafnie podniesiono też w skardze, że bezzasadne byłoby zajmowanie stanowiska wobec tego samego zdarzenia - tu incydentu - w kontekście jego opisu, jako uchybienia obowiązkom wobec naruszenia ochrony danych osobowych lub jako udostępnienia danych osobowych bez podstawy prawnej. Mogłoby to prowadzić do odmiennych konstatacji w poszczególnych postępowaniach, co do związku zdarzeń z działaniem bądź zaniechaniem określonego podmiotu - administratora. Godziłoby więc to w zasadę pewności prawa, jak też reguły odpowiedzialności administracyjnej za jeden czyn w ramach jednej podstawy prawnej. Trafnie zauważyła też spółka, że przyjęta przez organ koncepcja przypisywania administratorowi winy niejako obiektywnej - na zasadzie ryzyka - za samo zdarzenie udostępnienia przezeń administrowanych danych, prowadziłoby do ustanowienie takiej odpowiedzialności na gruncie reguły cywilnoprawnych, wobec treści art. 97 u.o.d.o. Intencji ustanowienia reguły odpowiedzialności administratora za utratę danych na zasadzie ryzyka nie sposób przypisać prawodawcy, jedynie poprzez zabieg określonej wykładni przepisów. Udzielając zaś ostateczną decyzją upomnienia, organ przesądził jakoby po stronie administratora doszło do określonych zaniedbań czy nieprawidłowości, co do jego powinności. Mogłyby one dotyczyć w istocie stosowania adekwatnych środków dla ochrony administrowanych danych osobowych. Z treści uzasadnienia wynika jednak jednoznacznie, że wcale nie badano kwestii indywidualnych uchybień po stronie administratora. Kwestie te nie będą mogły być z kolei badane przez sąd powszechny który będzie związany orzeczeniem, gdzie zarzucono administratorowi nieprawidłowość - w postaci przetwarzania danych osobowych bez podstawy prawnej. Udzielono wszak za to upomnienia. Oceną tą związany byłby sąd powszechny orzekający w przedmiocie roszczeń osób poszkodowanych w następstwie incydentu. Przyczynienie po stronie administratora nie byłoby więc badane ani na etapie postępowania administracyjnego w przedmiocie skargi, ani też przed sądem powszechnym. Prowadziłoby to de facto – poprzez określoną praktykę orzeczniczą w sprawach skargowych organu wyspecjalizowanego w sprawach ochrony danych osobowych - do ukształtowania absolutnej odpowiedzialności materialnej administratorów za wszelkie przypadki utraty danych osobowych. Zdaniem sądu I instancji reguły takiej nie wyrażono wprost ani w RODO, ani w regulacjach, stanowionych na szczeblu prawa krajowego.
W ocenie sądu I instancji powyższe względy przemawiają przeciw przyjętej przez organ koncepcji, jakoby zasadne było udzielenie administratorowi danych osobowych - na podstawie art. 58 ust. 2 lit. b RODO - upomnienia wobec indywidualnych skarg w następstwie incydentów utraty danych, niezależnie od okoliczności danego zdarzenia - przyczynienia administratora. Sąd zauważył również, że prowadzenie nawet setek postępowań wobec kolejnych wniosków osób poszkodowanych incydentami, gdzie może dochodzić do jednorazowej utraty tysięcy danych, stanowi bezzasadne obciążenie nie tylko dla podmiotu, od którego dane bezprawnie pozyskano (w niektórych przypadkach pomimo stosowania najwyższej klasy zabezpieczeń – braku uchybienia wymaganiom art. 32 RODO), ale jest także poważnym uszczupleniem środków publicznych, z których wszak utrzymywany jest wyspecjalizowany urząd. Prowadzenie takich postępowań administracyjnych nie służy jednocześnie eliminacji żadnych nieprawidłowości po stronie administratora.
Sąd podkreślił, że w rozpoznawanej sprawie pozostała całkowicie poza oceną kwestia, czy w istocie spółka przyczyniła się i w jakim zakresie do utraty danych, bądź w innych sposób uchybiła wymaganiom prawa wobec incydentu. Nie było to w ogóle przedmiotem rozważań przez organ w tej sprawie, jest zaś przedmiotem odrębnej - prowadzony z urzędu. Wskazał, że podstawy stwierdzenia nieprawidłowości w procesie przetwarzania danych przez spółkę nie mogła stanowić przywołany w rozstrzygnięciu organu art. 5 ust. 1 lit. f RODO - kwestia przyczynienia administratora (zagwarantowania integralności i poufności danych) nie była w ogóle badana. W takiej sytuacji prowadzenie danego postępowania, służącego ocenie tego samego zdarzenia (incydentu), w kontekście zastosowania środków wymienionych w art. 58 ust. 2 RODO, było bezprzedmiotowe. Sąd umorzył więc prowadzone przed organem postępowanie. Zdaniem sądu chybione są zarzuty skargi dotyczące naruszenia przepisów postępowania w zakresie obowiązku wyjaśnienia sprawy w jej istotnych aspektach. W świetle bezspornych jej okoliczności faktycznych i prawnych - wobec skargi wnioskodawcy - postępowania w ogóle nie należało wszczynać. Bezzasadność tych zarzutów nie miała znaczenia dla wyniku sprawy.
Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. a oraz § 3 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2022 r., poz. 329 ze zm.; dalej "p.p.s.a."), uchylił zaskarżoną decyzję oraz umorzył postępowanie. O zwrocie kosztów postępowania orzekł w myśl art. 200 w zw. z art. 205 § 2 p.p.s.a.
Skargę kasacyjną od powyższego wyroku wywiódł organ, zaskarżając wyrok w całości. Wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania sądowi I instancji. Nadto wniósł o rozpoznanie sprawy na rozprawie i zasądzenie zwrotu kosztów postępowania. Zaskarżonemu wyrokowi zarzucił naruszenie:
1) przepisów postępowania, tj. art. 145 § 3 p.p.s.a. mające wpływ na wynik sprawy poprzez uznanie, że bezprzedmiotowe jest prowadzenie postępowania w przedmiocie skargi indywidualnej, dotyczącej nieprawidłowości w procesie przetwarzania danych osobowych związanych z naruszeniem bezpieczeństwa danych osobowych, zgłoszonego przez administratora organowi nadzorczemu w trybie art. 33 ust. 1 RODO;
2) przepisów prawa materialnego mające istotny wpływ na wynik sprawy, tj.:
a) art. 6 ust. 1 lit. a-f w zw. z art. 4 pkt 2 i art. 4 pkt 12 RODO poprzez błędną ich wykładnię polegającą na uznaniu, że uzyskanie dostępu do danych osobowych przez nieuprawnioną osobę trzecią w wyniku umożliwienia tej osobie dostępu do danych osobowych, nie może być rozumiane jako przetwarzanie danych osobowych przez administratora bez podstawy prawnej;
b) art. 77 ust. 1 RODO polegające na przyjęciu, że osobie, której dane dotyczą, nie przysługuje prawo wniesienia skargi do organu nadzorczego na nieprawidłowości w procesie przetwarzania jej danych osobowych w sytuacji,
w której doszło do naruszenia bezpieczeństwa jej danych osobowych, zgłoszonego przez administratora organowi nadzorczemu w trybie art. 33 ust. 1 RODO;
c) art. 97 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 poz. 1781; dalej "u.o.d.o.") i art. 58 ust. 2 lit. b w zw. z art. 57 ust. 1 lit. a RODO poprzez wskazanie, że wydanie decyzji przez Prezesa UODO uniemożliwi w przyszłości zbadanie nieprawidłowości w procesie przetwarzania danych osobowych uczestnika przez sąd powszechny, co prowadzi do uznania, że Prezes UODO nie powinien rozstrzygać w sprawie dotyczącej nieprawidłowości
w procesie przetwarzania danych osobowych uczestnika, które były związane
z naruszeniem bezpieczeństwa danych osobowych przez administratora,
a w rezultacie nie powinien stosować środków naprawczych w postaci upomnienia wobec tego administratora za nieprawidłowości w procesie przetwarzania danych osobowych uczestnika, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji i umorzenia postępowania w sprawie.
W odpowiedzi na skargę kasacyjną spółka wniosła o jej oddalenie i zasądzenie zwrotu kosztów postępowania.
Naczelny Sąd Administracyjny zważył, co następuje.
Stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
Skarga kasacyjna jest uzasadniona. Jednakże prawidłowe jej rozpoznanie wymaga nakreślenia szerszego kontekstu wydania zaskarżonego wyroku oraz orzeczeń organu nadzoru (a następnie sądu administracyjnego) w innych sprawach związanych z tym samym incydentem naruszenia danych osobowych klientów [...] w likwidacji w W., a polegającym na braku ich zabezpieczenia w dniach 3-14 marca 2020 r. przez podmiot przetwarzający [...] w M. (B.), z którym administrator, tj. [...] w likwidacji w W. zawarł 2 marca 2018 r. umowę powierzenia przetwarzania danych osobowych. Incydent ten był przedmiotem postępowania wszczętego z urzędu przez Prezesa UODO, zakończonego wydaniem decyzji 17 grudnia 2020 r., pod sygn. DKN.5130.1354.2020.104813, której punkt 1 został następnie uchylony wyrokiem WSA w Warszawie z 5 października 2021 r. (II SA/Wa 528/21), Skargę kasacyjną od tego wyroku NSA oddalił wyrokiem z 18 czerwca 2025 r. (III OSK 669/22). Jednocześnie osoby dotknięte powyższym incydentem skorzystały ze środka prawnego, o którym mowa w art. 77 ust. 1 RODO. Prezes UODO w tych sprawach wszczął odrębne postępowania i w każdym z nich korzystając ze swojego uprawnienia naprawczego udzielił [...] w likwidacji w W. upomnienia za naruszenie wskazanych w treści decyzji przepisów RODO za czyn polegający na udostępnieniu bez podstawy prawnej danych osobowych indywidualnie oznaczonej osoby. Skargi do WSA w tych sprawach wniósł administrator danych osobowych – [...] w likwidacji w W., a sądy administracyjne I instancji albo oddalały skargi, albo uchylały zaskarżone decyzje i umarzały postępowanie przed PUODO.
Zarzuty skargi kasacyjnej dalekie są od spełnienia wymogów jakości wynikających z przepisów p.p.s.a., jednakże przy uwzględnieniu treści uzasadnienia możliwe jest ustalenie ich istoty i woli autora skargi kasacyjnej. Ich istota (a w szczególności istota zarzutów 1 i 2b) sprowadza się do zakwestionowania stanowiska sądu I instancji, zgodnie z którym wszczęcie postępowania w związku ze zgłoszeniem administratora danych osobowych naruszenia zasad ich przetwarzania dokonanego na podstawie art. 33 ust. 1 RODO wyklucza złożenie indywidualnej skargi do organu nadzorczego na nieprawidłowości w procesie przetwarzania danych osobowych i prowadzenie odrębnych postępowań w przedmiocie ich rozpoznania, jeśli prowadzone jest postępowanie główne mające na celu ustalenie odpowiedzialności administracyjnej za naruszenie obowiązków administratora związanych z przetwarzaniem danych osobowych, wynikających z przepisów RODO.
Naczelny Sąd Administracyjny stoi na stanowisku, że konieczne jest wszczęcie
i przeprowadzenie jednego postępowania przez Prezesa UODO, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej na podmiot odpowiedzialny w związku ze zdarzeniem naruszenia danych osobowych polegającym na braku zabezpieczenia danych klientów administratora w dniach 3-14 marca 2020 r. przez podmiot przetwarzający [...] w M. (B.), z którym administrator, tj. [...] w likwidacji w W. zawarł 2 marca 2018 r. umowę powierzenia przetwarzania danych osobowych.
Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Z kolei przepis art. 77 ust. 1 RODO stanowi, że bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.
Oba przepisy dotyczą różnych zagadnień. Przepis art. 33 ust. 1 RODO nakłada obowiązek prawny na administratora danych osobowych zgłoszenia organowi nadzoru naruszenia ochrony danych osobowych, określa sytuację, w której ten obowiązek powstaje oraz termin jego dopełnienia. Przepis art. 77 ust. 1 RODO reguluje zaś uprawnienie osoby, której dane osobowe są przetwarzane, do złożenia skargi do organu nadzoru, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza przepisy RODO. Żaden z tych przepisów nie odnosi się więc do zagadnienia procesowego związanego z wszczęciem postępowania kontrolnego oraz ile postępowań należy prowadzić w związku z danym incydentem.
Zauważyć należy, że w przypadku zgłoszenia organowi nadzoru naruszenia danych osobowych przez administratora w trybie art. 33 ust. 1 RODO, ma on również w oparciu o przepisy art. 34 RODO obowiązek dokonania zawiadomienia osoby, której dane osobowe dotyczą, o naruszeniu ochrony jej danych. Osoba, której dane osobowe zostały naruszone, uzyskuje zatem wiedzę o tym fakcie w zbliżonym czasie co organ nadzorczy.
Zadania organy nadzoru, w tym zadania związane z prowadzeniem postępowań regulowanych przez RODO, uregulowane zostały w przepisie art. 57 ust. 1 RODO, który m.in. w lit. f wskazuje, że organ nadzoru rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym.
Przepisy art. 57 ust. 1 RODO milczą natomiast w przedmiocie postępowania wszczynanego w związku ze zgłoszeniem, o którym mowa w art. 33 ust. 1 RODO. Dodać należy, że w przypadku naruszenia ochrony danych osobowych badana może być kwestia właściwej ochrony przetwarzania danych osobowych, a zatem realizacji obowiązków administratora, o których mowa m.in. w art. 5 ust. 1 RODO. Musi to prowadzić do konkluzji, iż regulacja z art. 57 ust. 1 RODO jest niewyczerpująca i wymienia przykładowe rodzaje zadań i ewentualnych postępowań kontrolnych.
W uzasadnieniu skargi kasacyjnej werbalizowany jest wyraźnie pogląd, iż postępowanie związane z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO ma odrębny przedmiot od postępowań wszczynanych wskutek indywidualnych skarg, gdyż ich zakres dotyczy wyłącznie kwestii ochrony indywidualnych danych, a nie zagadnień zabezpieczeń danych osobowych. Ocenę te należy podzielić tylko w części. Można założyć, iż dojść może do naruszenia ochrony danych osobowych, mimo dopełnienia przez administratora swoich obowiązków wynikających z RODO. Może także dojść do sytuacji, w których oba przedmioty będą pozostawać w związku, gdyż naruszenie obowiązków administratora doprowadzi do naruszenia ochrony danych osobowych. Wówczas przedmioty obu postępowań choć nie będą takie same, będą jednak pozostawać ze sobą w takim związku, iż nieuzasadnione będzie prowadzenie odrębnych postępowań wszczętych w związku z indywidualnymi skargami, o których mowa w art. 77 ust. 1 RODO. Przypadek taki będzie mieć miejsce wówczas, gdy naruszenie obowiązków administratora, o których mowa m.in. w przepisach art. 5 ust. 1 i art. 32 RODO, prowadzi do naruszenia ochrony danych osobowych, co wiąże się z potrzebą nałożenia kary administracyjnej. W takich przypadkach wyjaśnienie zagadnienia niedopełnienia obowiązków administratora będzie, co do zasady, równoznaczne z wyjaśnieniem okoliczności naruszenia zasad przetwarzania danych osobowych konkretnej osoby, jako skutku lub następstwa niedopełnienia tych obowiązków. W takich sytuacjach mnożenie postępowań administracyjnych jest niedopuszczalne, gdyż celem i przedmiotem obu postępowań jest nałożenie kary administracyjnej. W tych sprawach nie jest jednak wykluczone korzystania przez osoby indywidualne ze środka prawnego, o którym mowa w art. 77 ust. 1 RODO, np. po wydaniu ostatecznej decyzji w postępowaniu związanym z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO. Wynika to z prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu ustanowionego w art. 47 Karty Praw Podstawowych Unii Europejskiej z 7 grudnia 2000 r. (Dz. U. UE C z dnia 14 grudnia 2007 r.), z którego treści wywieść należy, że jeśli sąd wydał wyrok wiążący erga omnes, ale osoba, której prawa zostały naruszone, nie uczestniczyła w tym postępowaniu, to ma ona prawo do środka odwoławczego z pominięciem mocy wiążącej takiego wyroku zapadłego w sprawie "głównej". Przepis art. 47 Karty Praw Podstawowych Unii Europejskiej ma charakter uniwersalny i odnosi się do wszystkich uprawnień wynikających z prawa UE, również do uprawnień osób, których dane osobowe są przetwarzane niezgodnie z przepisami RODO.
Ponadto, jeżeli naruszenie praw wielu osób jest skutkiem jednego stanu faktycznego (jednego naruszenia), to należy przyjąć, że jest to jedna sprawa materialna w rozumieniu Kodeksu postępowania administracyjnego. Na przedmiot sprawy administracyjnej składa się element przedmiotowy (stan faktyczny) oraz podmiotowy (osoby, których dane zostały udostępnione). Jeśli do naruszenia RODO doszło na skutek jednego zdarzenia, to jego konsekwencje dotyczą interesu prawnego wielu osób. To stanowisko wspiera wykładnia systemowa. Motyw 20 RODO mówi o rozpatrywaniu przez organy nadzorcze skarg "związanych z operacjami przetwarzania danych". Podobnie motyw 131 RODO wskazuje na ujęcie przedmiotowe, postępowanie prowadzone jest wobec czynności przetwarzania ("Jeżeli funkcję wiodącego organu nadzorczego wobec czynności przetwarzania prowadzonych przez administratora lub podmiot przetwarzający powinien pełnić inny organ nadzorczy, ale konkretny przedmiot skargi lub ewentualnego naruszenia dotyczy wyłącznie czynności przetwarzania prowadzonych przez administratora"). Tym samym, naruszenie ochrony danych (zdarzenie, incydent) powinno spotkać się z jedną reakcją organu nadzorczego, tym bardziej, że liczba osób poszkodowanych naruszeniem jest okolicznością obciążającą administratora. Wydana decyzja będzie miała wpływ na prawa wszystkich podmiotów objętych naruszeniem i osoby te powinny mieć prawo do kwestionowania stanowiska PUODO. Szczególnie jeśliby w ocenie organu nie doszło do naruszenia, osoby poszkodowane powinny mieć możliwość zaskarżenia decyzji "głównej", która w innym przypadku miałaby charakter wiążący i stałaby na przeszkodzie realizacji indywidualnych uprawnień wynikających z prawa UE. Sytuacja, w której organ prowadzi postępowanie główne z pominięciem osób poszkodowanych, z pewnością naruszałaby standard proceduralny wynikający z art. 47 Karty Praw Podstawowych Unii Europejskiej, do której to regulacji przepisy RODO zresztą się odwołują.
Kolejnym argumentem przemawiającym za powyższym stanowiskiem jest treść przepisu art. 83 ust. 2 RODO, a w szczególności jego litery "a". Przepis ten wskazuje na okoliczności, które winny przemówić za nałożeniem administracyjnej kary pieniężnej oraz określa dyrektywy ustalenia jej wysokości. Wśród tych dyrektyw, jako jedna z najważniejszych, wskazana jest liczba poszkodowanych osób, których dane dotyczą. Wywieść z tego przepisu należy, że liczba poszkodowanych osób warunkuje ukaranie administracyjną karą pieniężną oraz determinuje wysokość takiej kary. Wyłączenie do odrębnego rozpoznania spraw, w których osoby indywidualne wniosły skargi do organu nadzoru, ma ten skutek, że pomniejsza liczbę osób poszkodowanych w sprawie głównej mającej za przedmiot dany incydent związany z niewłaściwym przetwarzaniem danych osobowych, naruszeniem obowiązków administratora. Prowadzenie odrębnych postępowań w odniesieniu do skarg indywidualnych skutkuje więc tym, że nie będą one uwzględnione w liczbie osób poszkodowanych branych pod rozwagę przy podejmowaniu decyzji w przedmiocie nałożenia administracyjnej kary pieniężnej i jej wysokości w sprawie głównej. Jest to też częściowo konsekwencją wątpliwości co do sensowności wielokrotnego upominania administratora za ten sam incydent.
Rozparcelowanie jednego incydentu tego rodzaju jaki jest przedmiotem niniejszej sprawy na wiele postępowań w przedmiocie nałożenia odpowiedzialności administracyjnej może prowadzić do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiarów poniesionych szkód. Taka decyzja procesowa organu prowadzi w gruncie rzeczy do naruszenia zasad i reguł postępowania wyjaśniającego, w tym przede wszystkim art. 7, art. 77 § 1 i art. 80 k.p.a., gdyż wówczas sprawa konkretnego incydentu zasadniczo nie może być prawidłowo wyjaśniona przy uwzględnieniu wszystkich jego okoliczności faktycznych. Wyłączenie bowiem pewnych fragmentów zdarzenia powoduje ich wykluczenie z generalnego budowania obrazu każdej indywidualnej sprawy związanej z naruszeniem przepisów RODO.
Naczelny Sąd Administracyjny stoi na stanowisku, że kwestia odpowiedzialności administracyjnej administratora lub podmiotu przetwarzającego dane osobowe nie jest uregulowana w sposób jednolity w przepisach RODO i jest determinowana przez następujące czynniki. Przede wszystkim zakres odpowiedzialności administratora lub podmiotu przetwarzającego zależą od tego, czy umowa lub inny instrument prawny, na podstawie którego nastąpiło przekazanie przez administratora przetwarzania danych podmiotowi przetwarzającemu dane, podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora (art. 28 ust. 3 RODO). Należy to rozumieć w ten sposób, iż taka umowa lub instrument muszą podlegać prawu UE lub prawu państwa członkowskiego, jak również administrator i podmiot przetwarzający muszą podlegać prawu UE lub prawu państwa członkowskiego, tj. pozostawać w zakresie jego jurysdykcji. Wówczas możliwe jest rozważanie zagadnienia odrębnej oceny odpowiedzialności administratora danych osobowych oraz odrębnej odpowiedzialności podmiotu przetwarzającego za ewentualne naruszenie przepisów RODO, w tym odpowiedzialności administracyjnej. W takiej sytuacji odpowiedzialność administratora może zostać ograniczona np. do oceny dopełnienia obowiązków z art. 28 ust. 1 RODO na etapie zawierania umowy.
Z kolei w sytuacjach, gdy administrator podlegający prawu UE lub prawu państwa członkowskiego i jego jurysdykcji zawiera umowę o powierzenie przetwarzania danych osobowych, która nie podlega prawu UE lub państwa członkowskiego lub z podmiotem, który nie podlega jurysdykcji państwa członkowskiego UE, wówczas ponosi on odpowiedzialność obiektywną za wszystkie czynności przetwarzania danych osobowych dokonywane przez taki podmiot przetwarzający. Wniosek taki możliwy jest do wyprowadzenia w drodze wykładni językowej przepisu art. 5 ust. 2 RODO, który wiąże dochowanie zasad i obowiązków przetwarzania danych osobowych, a następnie odpowiedzialności z tym związanej, z administratorem danych, jak również wykładni systemowej całości przepisów RODO, które nakierowane są na ochronę danych osobowych oraz skuteczne egzekwowanie każdego naruszenia prawa do ochrony danych osobowych. W przypadku naruszenia zasad przetwarzania danych osobowych wynikających z RODO lub innych przepisów państwa członkowskiego odpowiedzialność ponosi administrator danych osobowych, chyba że możliwe będzie przypisanie takiej odpowiedzialności innemu podmiotowi zaangażowanemu w przetwarzanie danych osobowych na zasadach wynikających z RODO (lub przepisów prawa państwa członkowskiego), a następnie jej skuteczne wyegzekwowanie zgodnie z przepisami RODO. To zaś oznacza, że przejęcie obowiązków administratora przez podmiot przetwarzający musi nastąpić na podstawie umowy lub instrumentu prawnego regulowanego przepisami RODO lub przepisami państwa członkowskiego UE i jednocześnie przez podmiot przetwarzający, który podlega jurysdykcji państwa członkowskiego UE, tak aby możliwe było pociągnięcie go do odpowiedzialności prawnej wynikającej z RODO lub przepisów prawa państwa członkowskiego. Przez powyższe ustalenia należy interpretować przepis art. 83 ust. 2 lit. d RODO, gdyż w przeciwnym razie niemożliwe byłoby osiągnięcie celów odpowiedzialności administracyjnej, w tym celów nakładania administracyjnych kar pieniężnych, których zastosowanie za naruszenie przepisów RODO winno być skuteczne, proporcjonalne i odstraszające.
Nie sposób zatem zaakceptować poglądu wyrażonego przez WSA w Warszawie w sprawie "głównej" w uzasadnieniu pisemnym wyroku z 5 października 2021 r., II SA/Wa 528/21, w którym wskazano m.in. "(...) Trzeba podkreślić, że podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 rozporządzenia). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowiązków kierowanych do administratora i do podmiotu przetwarzającego (np. art. 32 ust. 1) są ich prawnie wyznaczone funkcje. Według rozporządzenia funkcją administratora danych jest samodzielne lub wspólnie z innymi ustalanie celów i sposobów przetwarzania danych osobowych (art. 4 pkt 7 rozporządzenia). Do podmiotu przetwarzającego należy natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, że na każdym z tych podmiotów ciążą obowiązki dotyczące zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w piśmiennictwie. W komentarzu do art. 5 ust. 2 rozporządzenia formułującego ogólną zasadę odpowiedzialności administratora danych za przestrzeganie przepisów rozporządzenia dotyczących przetwarzania danych osobowych wyrażono pogląd, że w przypadku powierzenia przetwarzania danych osobowych, obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia spoczywają na podmiocie przetwarzającym (Ogólne rozporządzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz pod red. P. Litwińskiego, Warszawa 2021, s. 164). Przedstawione rozważania uzasadniają stwierdzenie, że w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu egzekwowanie odpowiedzialności za naruszenia powstałe w procesie przetwarzania nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia. Świadczą o tym również określone w rozporządzeniu zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów rozporządzenia (art. 83). Tej odpowiedzialności administracyjnej podlegają administrator danych i podmiot przetwarzający. Jedna z dyrektyw nakładania tych kar stanowi, że podjęcie decyzji o nałożeniu kary i ustaleniu jej wysokości wymaga zwrócenia uwagi w każdym indywidualnym przypadku na stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d)".
Naczelny Sąd Administracyjny stoi na stanowisku, że w związku z powierzeniem funkcji podmiotu przetwarzającego dane osobowe podlegającemu jurysdykcji B. zachodzi pełna odpowiedzialność administratora danych osobowych, którym jest skarżąca spółka, a w konsekwencji rozważanie, czy to administrator prowadził procesy przetwarzania danych osobowych i czy miało to miejsce bez podstawy prawnej, w tym kontekście nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialności w zakresie administracyjnej kary pieniężnej. Wyprowadzenie procesu przetwarzania danych osobowych poza kraje, w których obowiązują przepisy RODO, oraz na rzecz podmiotu, który nie podlega jurysdykcji państwa członkowskiego UE, było świadomym działaniem administratora, stąd dla zachowania realizacji praw podmiotowych osób podlegających ochronie przepisów RODO i skuteczności tych przepisów konieczne jest przyjęcie takiego stanowiska.
Co prawda na akceptację zasługuje generalnie rozumowanie sądu I instancji związane z koniecznością prowadzenia jednego postępowania w odniesieniu do całości zdarzenia naruszenia zasad przetwarzania danych osobowych. Jednak Naczelny Sąd Administracyjny uznał, że zaskarżony w rozpoznawanej sprawie wyrok nie odpowiada prawu. Zgodnie z art. 145 § 3 p.p.s.a. w przypadku, o którym mowa w § 1 pkt 1 i 2, sąd stwierdzając podstawę do umorzenia postępowania administracyjnego, umarza jednocześnie to postępowanie. Jednak, biorąc pod uwagę powyższe rozważania, brak było podstaw do umorzenia postępowania, bowiem sprawa winna zostać rozpoznana ponownie. W jej ramach powinno dojść do połączenia w jedną sprawę sprawy głównej, w której wydana została przez Prezesa UODO decyzja z 17 grudnia 2020 r., pod sygn. DKN.5130.1354.2020.104813, jak również wszystkich innych spraw prowadzonych w związku ze skorzystaniem przez osoby, których dane osobowe zostały naruszone, ze środka w postaci indywidualnej skargi do organu nadzoru. Osoby takie powinny uzyskać status stron takiego postępowania. W jego ramach winno dojść do wyjaśnienia wszystkich istotnych okoliczności sprawy, jak i zapewnienia praw procesowych stronom postępowania, a następnie wydania decyzji orzekającej o konsekwencjach administracyjnoprawnych odnoszących się do całości incydentu.
Mając na względzie powyższe wywody, przy uwzględnieniu treści uzasadnienia skargi kasacyjnej, należy zgodzić się z zarzutami 1. i 2b.
Nietrafny jest natomiast zarzut 2c, naruszenia art. 97 ustawy o ochronie danych osobowych. Zgodnie z tym przepisem ustalenia prawomocnej decyzji Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi, o której mowa w art. 145a § 3 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi, wiążą sąd w postępowaniu o naprawienie szkody wyrządzonej przez naruszenie przepisów o ochronie danych osobowych co do stwierdzenia naruszenia tych przepisów. Przepis ten nie wskazuje, że decyzja o stwierdzeniu naruszenia przepisów o ochronie danych osobowych musi być adresowana i dotyczyć wyłącznie zindywidualizowanego podmiotu i być wydana w postępowaniu wszczętym na skutek skorzystania przez taką osobę z przysługującego jej środka prawnego, o którym mowa w art. 77 RODO. Chodzi w nim jedynie o wydanie decyzji stwierdzającej generalny fakt naruszenia przepisów o ochronie danych osobowych. Taką decyzją będzie zatem również decyzja stwierdzająca naruszenie obowiązków administratora w zakresie zabezpieczenia danych osobowych i wymierzenia mu administracyjnej kary pieniężnej.
Przyjęte wyżej stanowisko powoduje, że rozpoznawanie merytoryczne zarzutu 2a jest bezprzedmiotowe, gdyż w związku z powierzeniem funkcji podmiotu przetwarzającego dane osobowe podlegającemu jurysdykcji B. zachodzi pełna odpowiedzialność administratora danych osobowych, którym jest [...] w likwidacji, a w konsekwencji rozważanie, czy to administrator prowadził procesy przetwarzania danych osobowych i czy miało to miejsce bez podstawy prawnej, w tym kontekście nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialności w zakresie administracyjnej kary pieniężnej. Podobnie bezprzedmiotowe jest rozpoznanie zarzutu 2a.
Dlatego Naczelny Sąd Administracyjny na podstawie art. 188 uchylił zaskarżony wyrok i uznając, że istota sprawy jest dostatecznie wyjaśniona rozpoznał skargę.
Przedstawione wyżej przez Naczelny Sąd Administracyjny stanowisko, powoduje konieczność uchylenia zaskarżonej decyzji na podstawie art. 145 § 1 pkt 1 lit. a) i c) p.p.s.a. Rozstrzygnięcie to ma charakter pochodny, ale jest także konsekwencją stwierdzenia, że w postępowaniu przed organem nadzoru doszło do naruszenia podstawowych zasad postępowania wyjaśniającego, co wymaga ponownego jego przeprowadzenia. W związku z brakiem podstaw do umorzenia postępowania administracyjnego przed organem, gdyż w dalszym ciągu istnieje przedmiot sprawy, konieczne jest jej połączenie do wspólnego rozpoznania ze sprawą, w której wydana została decyzja z 17 grudnia 2020 r., pod sygn. DKN.5130.1354.2020.104813. Sprawy te powinny być prowadzone łącznie ze wszystkimi sprawami zainicjowanymi skargami indywidualnymi, w tym ze sprawami, w których skargę kasacyjną wniosła [...] w likwidacji w W. (sprawy, w których Prezes UODO udzielił spółce upomnienia).
Na podstawie art. 156 § 1 i 3 p.p.s.a. sprostowano komparycję i sentencję zaskarżonego wyroku przez wpisanie prawidłowej nazwy skarżącej Spółki "[...] w likwidacji z siedzibą w Warszawie" wynikającej z Krajowego Rejestru Sądowego, w miejsca nieprawidłowo podanej nazwy skarżącej Spółki "[...] w likwidacji z siedzibą w W.".
O zwrocie kosztów postępowania kasacyjnego od spółki na rzecz Prezesa UODO orzeczono na podstawie art. 203 pkt 2 p.p.s.a. w zw. z art. 205 § 2 p.p.s.a.