III OSK 2496/22
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny rozpoznał skargę kasacyjną Prezesa Urzędu Ochrony Danych Osobowych od wyroku WSA w Warszawie, który uchylił decyzję Prezesa UODO o udzieleniu upomnienia spółce w likwidacji za naruszenie przepisów RODO. Sprawa dotyczyła udostępnienia danych osobowych klientów spółki podmiotom nieuprawnionym w wyniku błędu pracownika podmiotu przetwarzającego, z którym spółka zawarła umowę powierzenia. WSA uznał, że udostępnienie danych przez podmiot trzeci nie jest przetwarzaniem przez administratora, co doprowadziło do uchylenia decyzji i umorzenia postępowania. NSA, uchylając wyrok WSA, stanął na stanowisku, że administrator ponosi pełną odpowiedzialność, gdy powierza przetwarzanie danych osobowych podmiotowi spoza jurysdykcji UE. Podkreślił, że w przypadku naruszenia ochrony danych osobowych konieczne jest prowadzenie jednego, kompleksowego postępowania przez Prezesa UODO, które obejmie zarówno zgłoszenie naruszenia przez administratora (art. 33 RODO), jak i indywidualne skargi osób, których dane dotyczą (art. 77 RODO). NSA uznał, że rozdzielanie tych postępowań prowadzi do naruszenia zasady pewności prawa i utrudnia skuteczne egzekwowanie przepisów RODO, w tym ustalenie właściwej wysokości kary administracyjnej, która powinna uwzględniać liczbę poszkodowanych osób. Sąd wskazał, że w sytuacji, gdy administrator powierza przetwarzanie danych podmiotowi spoza jurysdykcji UE, ponosi on obiektywną odpowiedzialność za wszystkie czynności przetwarzania. NSA uchylił wyrok WSA i zaskarżoną decyzję, nakazując ponowne rozpoznanie sprawy z uwzględnieniem konieczności połączenia wszystkich postępowań dotyczących danego incydentu w jedno, z zapewnieniem praw procesowych wszystkim stronom.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaUstalenie pełnej odpowiedzialności administratora za działania podmiotu przetwarzającego spoza UE oraz konieczność prowadzenia jednego, kompleksowego postępowania w sprawach naruszenia ochrony danych osobowych.
Orzeczenie dotyczy specyficznej sytuacji powierzenia przetwarzania danych podmiotowi spoza jurysdykcji UE. Interpretacja przepisów RODO w kontekście odpowiedzialności administratora i podmiotu przetwarzającego.
Zagadnienia prawne (3)
Czy udostępnienie danych osobowych przez podmiot trzeci, któremu administrator powierzył przetwarzanie danych, stanowi przetwarzanie danych przez administratora bez podstawy prawnej?Ratio decidendi
Odpowiedź sądu
Nie, udostępnienie danych przez podmiot trzeci nie jest przetwarzaniem przez administratora bez podstawy prawnej. Administrator ponosi jednak pełną odpowiedzialność, gdy powierza przetwarzanie danych podmiotowi spoza jurysdykcji UE.
Uzasadnienie
NSA stwierdził, że administrator ponosi obiektywną odpowiedzialność za czynności przetwarzania dokonywane przez podmiot przetwarzający spoza jurysdykcji UE. W takich przypadkach nie ma znaczenia, czy administrator sam prowadził procesy przetwarzania bez podstawy prawnej, ponieważ ponosi pełną odpowiedzialność za działania podmiotu przetwarzającego.
Czy zgłoszenie naruszenia ochrony danych przez administratora organowi nadzorczemu (art. 33 RODO) wyklucza możliwość złożenia indywidualnej skargi przez osobę, której dane dotyczą (art. 77 RODO), i prowadzenia odrębnych postępowań?Ratio decidendi
Odpowiedź sądu
Nie, zgłoszenie naruszenia przez administratora nie wyklucza indywidualnej skargi. Konieczne jest prowadzenie jednego, kompleksowego postępowania obejmującego wszystkie aspekty naruszenia i wszystkie skargi.
Uzasadnienie
NSA podkreślił, że art. 33 i art. 77 RODO regulują różne zagadnienia. Konieczne jest jedno postępowanie, które ustali wszystkie naruszenia i wymierzy jedną karę, uwzględniając liczbę poszkodowanych. Rozdzielanie postępowań narusza zasadę pewności prawa i utrudnia skuteczne egzekwowanie przepisów.
Jaki jest zakres odpowiedzialności administratora danych, gdy powierza przetwarzanie danych podmiotowi przetwarzającemu spoza jurysdykcji UE?Ratio decidendi
Odpowiedź sądu
Administrator ponosi pełną, obiektywną odpowiedzialność za wszystkie czynności przetwarzania dokonywane przez taki podmiot.
Uzasadnienie
NSA uznał, że jeśli umowa powierzenia nie podlega prawu UE lub państwa członkowskiego, lub jest zawarta z podmiotem niepodlegającym jurysdykcji UE, administrator ponosi obiektywną odpowiedzialność za działania podmiotu przetwarzającego. Jest to konieczne dla ochrony praw osób, których dane dotyczą, i skuteczności RODO.
Przepisy (18)
Główne
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Przetwarzanie danych osobowych jest zgodne z prawem tylko w przypadkach określonych w tym przepisie.
RODO art. 5 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Zasady przetwarzania danych osobowych, w tym wymóg integralności i poufności.
p.p.s.a. art. 145 § 1
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa do uchylenia zaskarżonej decyzji.
p.p.s.a. art. 145 § 3
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
Obowiązek umorzenia postępowania administracyjnego w przypadku stwierdzenia podstaw do jego umorzenia.
p.p.s.a. art. 188
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa do uchylenia zaskarżonego wyroku.
Pomocnicze
RODO art. 58 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Organ może udzielić upomnienia za naruszenie przepisów o ochronie danych.
RODO art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Definicja 'przetwarzania'.
RODO art. 4 § 7
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Definicja 'administratora'.
RODO art. 33 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Obowiązek zgłoszenia naruszenia ochrony danych osobowych.
RODO art. 77 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Prawo osoby, której dane dotyczą, do wniesienia skargi do organu nadzorczego.
RODO art. 57 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Zadania organu nadzoru, w tym rozpatrywanie skarg.
RODO art. 83 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Dyrektywy ustalania wysokości administracyjnej kary pieniężnej.
RODO art. 28 § 3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Umowa powierzenia przetwarzania danych.
RODO art. 5 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Odpowiedzialność administratora za przestrzeganie zasad przetwarzania.
u.o.d.o. art. 97
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Wiążący charakter ustaleń decyzji lub wyroku dla sądu w postępowaniu o naprawienie szkody.
p.p.s.a. art. 183 § 1
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
Zakres rozpoznania sprawy przez NSA.
p.p.s.a. art. 203 § 2
Ustawa z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi
Podstawa do zasądzenia zwrotu kosztów postępowania kasacyjnego.
Karta Praw Podstawowych UE art. 47
Karta Praw Podstawowych Unii Europejskiej
Prawo do skutecznego środka prawnego i dostępu do bezstronnego sądu.
Argumenty
Skuteczne argumenty
Administrator ponosi pełną odpowiedzialność za działania podmiotu przetwarzającego spoza jurysdykcji UE. • Konieczność prowadzenia jednego, kompleksowego postępowania w celu oceny wszystkich naruszeń i nałożenia kary. • Zgłoszenie naruszenia przez administratora nie wyklucza indywidualnej skargi.
Odrzucone argumenty
Argumenty WSA dotyczące odrębności przetwarzania przez administratora i podmiot trzeci. • Argumenty WSA o bezprzedmiotowości prowadzenia postępowania w przedmiocie skargi indywidualnej.
Godne uwagi sformułowania
NSA stoi na stanowisku, że konieczne jest wszczęcie i przeprowadzenie jednego postępowania przez Prezesa UODO, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej. • NSA stoi na stanowisku, że w związku z powierzeniem funkcji podmiotu przetwarzającego dane osobowe podlegającemu jurysdykcji B. zachodzi pełna odpowiedzialność administratora danych osobowych, którym jest skarżąca spółka, a w konsekwencji rozważanie, czy to administrator prowadził procesy przetwarzania danych osobowych i czy miało to miejsce bez podstawy prawnej, w tym kontekście nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialności w zakresie administracyjnej kary pieniężnej.
Skład orzekający
Zbigniew Ślusarczyk
przewodniczący
Rafał Stasikowski
sprawozdawca
Paweł Mierzejewski
członek
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Ustalenie pełnej odpowiedzialności administratora za działania podmiotu przetwarzającego spoza UE oraz konieczność prowadzenia jednego, kompleksowego postępowania w sprawach naruszenia ochrony danych osobowych."
Ograniczenia: Orzeczenie dotyczy specyficznej sytuacji powierzenia przetwarzania danych podmiotowi spoza jurysdykcji UE. Interpretacja przepisów RODO w kontekście odpowiedzialności administratora i podmiotu przetwarzającego.
Wartość merytoryczna
Ocena: 8/10
Orzeczenie NSA wyjaśnia kluczowe kwestie odpowiedzialności w RODO, szczególnie w kontekście międzynarodowego powierzania przetwarzania danych i konieczności jednego postępowania. Jest to bardzo istotne dla praktyków ochrony danych.
“Pełna odpowiedzialność administratora za dane powierzone firmie spoza UE – kluczowe orzeczenie NSA w sprawie RODO!”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.