III OSK 250/25

III OSK 250/25 - Wyrok NSA
Data orzeczenia
2025-11-14
orzeczenie prawomocne
Data wpływu
2025-02-06
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski
Wojciech Jakimowicz /przewodniczący sprawozdawca/
Zbigniew Ślusarczyk
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 252/24 - Wyrok WSA w Warszawie z 2024-11-13
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
ART.145 §1 LIT.C I ART.145 §3
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Dz.U. 2024 poz 334
art.175da, art.175db, art.175dd
Ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych
Dz.U.UE.L 2016 nr 119 poz 1 art.55 ust.3
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z  przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wojciech Jakimowicz (spr.) Sędziowie: Sędzia NSA Zbigniew Ślusarczyk Sędzia del. WSA Mariusz Kotulski Protokolant: asystent sędziego Dominika Daśko po rozpoznaniu w dniu 14 listopada 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 listopada 2024 r., sygn. akt II SA/Wa 252/24 w sprawie ze skargi Sądu Okręgowego w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 grudnia 2023 r., nr DKN.5131.42.2022.OS w przedmiocie naruszenia przepisów o ochronie danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Sądu Okręgowego w K. kwotę 1350 (jeden tysiąc trzysta pięćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, po rozpoznaniu sprawy ze skargi Sądu Okręgowego w K. (dalej także jako: strona skarżąca, Sąd, Administrator) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako: organ, Prezes UODO) z dnia 19 grudnia 2023 r., nr DKN.5131.42.2022.OS w przedmiocie naruszenia przepisów o ochronie danych osobowych, w punkcie 1 wyroku z dnia 13 listopada 2024 r., sygn. akt II SA/Wa 252/24 uchylił zaskarżoną decyzję, w punkcie 2 umorzył postępowanie administracyjne, w punkcie 3 zasądził od organu na rzecz strony skarżącej kwotę 2200 złotych tytułem zwrotu kosztów postępowania.
Wyrok ten zapadł w następującym stanie faktycznym i prawnym sprawy:
Decyzją z dnia 19 grudnia 2023 r., nr DKN.5131.42.2022.OS Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 104 § 1 i art. 105 § 1 Kodeksu postępowania administracyjnego w związku z art. 7 ust. 1 i 2, art. 60, art. 102 ust. 1 pkt 1 i ust. 3 ustawy o ochronie danych osobowych oraz art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. e i lit. i, art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a w związku z art. 33 ust. 1, ust. 3 i ust. 5 oraz art. 34 ust. 1 - 2 i ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); dalej jako: "rozporządzenie 2016/679", po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Sąd Okręgowy w K. z siedzibą w K.:
1) stwierdzając naruszenie przez Sąd Okręgowy w K. przepisów:
a) art. 33 ust. 1 i ust. 3 rozporządzenia 2016/679 polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b) art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679 polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki, osób, których dane dotyczą,
2) nałożył na Sąd Okręgowy w K. za naruszenie art. 33 ust. 1 i ust. 2 oraz art. 34 ust. 1 i ust. 2 rozporządzenia 2016/679 administracyjną karę pieniężną w wysokości 10.000 złotych,
3) nakazał Sądowi Okręgowemu w K. zawiadomienie, w terminie 3 dni od dnia otrzymania niniejszej decyzji, czterech osób, których dane były zawarte na dokumentach znajdujących się w uszkodzonej przesyłce pocztowej (tj. powódki, pozwanego oraz dwójki ich dzieci), o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych,
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych z uwzględnieniem kategorii osób i zakresu danych objętych naruszeniem,
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków z uwzględnieniem kategorii osób i zakresu danych objętych naruszeniem,
4) w pozostałym zakresie umorzył postępowanie.
W uzasadnieniu decyzji organ wskazał, że w dniu 27 lipca 2022 r. do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez Ministra Spraw Zagranicznych polegającego na dostarczeniu adresatowi przez operatora pocztowego R. uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe, wysłanej przez Konsulat Generalny RP w M. na wniosek Sądu Okręgowego w K. Jak ustalono, Konsulat Generalny RP w M. pismem z dnia 25 lipca 2022 r., nr KGMAN.3102-180-2022, poinformował Sąd Okręgowy w K. o doręczeniu adresatowi uszkodzonej i niekompletnej przesyłki. Zgłoszenie naruszenia ochrony danych osobowych dokonane przez Ministra Spraw Zagranicznych zostało zarejestrowane pod sygnaturą DKN.5130.8015.2022.
Prezes Urzędu Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w przedmiocie naruszenia przepisów art. 33 oraz art. 34 ust. 1 - 2 rozporządzenia 2016/679 przez Sąd Okręgowy w K. W toku postępowania organ ustalił następujący stan faktyczny: Minister Spraw Zagranicznych poinformował organ, że Konsulat Generalny RP w M. w dniu 14 lipca 2022 r. wysłał, na wniosek Sądu Okręgowego w K., korespondencję za pośrednictwem R. Adresat korespondencji poinformował w dniu 25 lipca 2022 r. Konsulat Generalny RP w M., że doręczono mu uszkodzoną przesyłkę i "mogło dojść do naruszenia korespondencji". Z informacji uzyskanej od adresata wynikało także, że korespondencja została dodatkowo zapakowana w folię ochronną, zabezpieczającą uszkodzoną kopertę, jak również to, iż nie zawierała ona wszystkich dokumentów podlegających doręczeniu.
Konsulat Generalny RP w M. poinformował Sąd Okręgowy w K. o zdarzeniu pismem z dnia 25 lipca 2022 r., które zostało doręczone w dniu 1 sierpnia 2022 r. Z treści pisma wynika, że korespondencja została doręczona adresatowi w dniu 23 lipca 2022 r. za pośrednictwem operatora pocztowego. W piśmie tym zostało również wskazane, że: "dostarczona przesyłka została doręczona uszkodzona i niekompletna".
Organ wskazał, że Sąd Okręgowy w K. jako nadawca przesyłki jest administratorem danych objętych naruszeniem.
Pismem z dnia 24 sierpnia 2022 r. Prezes Urzędu Ochrony Danych Osobowych wezwał Sąd Okręgowy w K. do udzielenia wyjaśnień, czy została przeprowadzona analiza ryzyka naruszenia praw lub wolności osób fizycznych niezbędna dla oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych oraz osób, których naruszenie dotyczy. W odpowiedzi na powyższe wezwanie Sąd Okręgowy w K. w piśmie z dnia 26 sierpnia 2022 r. wskazał, że zgodnie z art. 175dd ustawy Prawo o ustroju sądów powszechnych organem właściwym do wykonywania nadzoru nad przetwarzaniem danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej, których administratorem są sądy w rozumieniu art. 174da i 175db, jest dla Sądu Okręgowego w K. - Prezes Sądu Apelacyjnego w K.
Pismem z dnia 1 września 2022 r. Prezes Urzędu Ochrony Danych Osobowych ponownie zwrócił się do Sądu Okręgowego w K. wzywając do udzielenia odpowiedzi na pytanie zawarte w piśmie z dnia 24 sierpnia 2022 r., informując jednocześnie, że jest w tym przypadku organem nadzorczym i właściwym do zbadania przedmiotowego naruszenia. W odpowiedzi, w piśmie z dnia 8 września 2022 r., Sąd Okręgowy w K. podtrzymał swoje stanowisko, powołując się ponownie na treść art. 174da (brak takiego przepisu w ustawie), art. 175db oraz art. 175dd ustawy Prawo o ustroju sądów powszechnych. Ponadto, odwołał się do orzeczenia Trybunału Sprawiedliwości Unii Europejskiej z dnia 24 marca 2022 r. w sprawie C-245/20, w którym wskazano, że "ochrona niezawisłości wymiaru sprawiedliwości zakłada bowiem co do zasady, że funkcje sądownicze są wykonywane w sposób całkowicie, niezależny; sądy nie podlegają żadnej hierarchii służbowej i nie są komukolwiek podporządkowane, ani nie otrzymują nakazów czy wytycznych z jakiegokolwiek źródła, a tym samym są chronione przed jakąkolwiek ingerencją lub naciskami zewnętrznymi mogącymi zaszkodzić niezależności osądu ich członków i wpływać na ich rozstrzygnięcia". Trybunał Sprawiedliwości Unii Europejskiej, jak wskazał Sąd Okręgowy w K., doszedł do wniosku, że czynność/proces sprawowania wymiaru sprawiedliwości nie może i nie jest ograniczona wyłącznie do przetwarzania danych osobowych w ramach konkretnych postępowań sądowych, ale swoim szerokim zakresem obejmuje wszystkie operacje dokonywane w ramach działalności orzeczniczej. Dotyczy to również kodeksowych procedur informowania stron o toku toczącego się, jak również wszczynanego postępowania sądowego. Powyższe oznacza, że zakres rozumienia "sprawowania przez sądy wymiaru sprawiedliwości" jest szeroki i mieści się w nim wszystko, cokolwiek można powiązać z niezawisłością sądów. Powyższe podkreślił również Rzecznik Generalny Trybunału Sprawiedliwości Unii Europejskiej w poprzedzającej wspomniany wyrok opinii, w której zwrócił uwagę na fakt, iż mogą to być także decyzje, które na pierwszy rzut oka mają charakter administracyjny, ale w rzeczywistości należy je powiązać z orzekaniem, np. nagrywanie rozpraw, transmitowanie ich czy nawet stosowanie środków bezpieczeństwa (v. C-245/20 Opinia Rzecznika Generalnego, TSUE, art. 55, ust. 3 RODO). Sąd Okręgowy w K. wskazał również, że na tle art. 175 ust. 1 Konstytucji RP przyjmuje się że wymiar sprawiedliwości stanowi wiążące rozstrzyganie sporów o prawo dokonywane przez sąd. Do istoty wymiaru sprawiedliwości należy rozstrzyganie sporów prawnych (sporów ze stosunków prawnych) w ramach szczególnych form postępowania, co regulują przepisy postępowania sądowego cywilnego, karnego (wyrok Trybunału Konstytucyjnego z dnia 9 czerwca 1998 r., sygn. K 28/97, publ. OTK 1998/4/50). Krajowy organ nadzoru nie jest więc uprawniony do kontroli sądów w zakresie, w jakim wykonują one działalność orzeczniczą, przy czym taka działalność obejmuje orzekanie nie tylko w sprawie głównej, lecz także we wszystkich sprawach incydentalnych (wyrok NSA z dnia 26 maja 2020 r., sygn. akt I OSK 1533/19). Ponadto, Sąd Okręgowy w K. powołał się także na decyzję organu wydaną w sprawie nr ZSOŚS.440.109.2018, w której organ uznał się za niewłaściwy do ingerowania w treść dokumentów zgromadzonych w aktach postępowania sądowego.
Następnie Sąd Okręgowy w K. w piśmie z dnia 22 września 2022 r. wskazał, że Prezes UODO nie posiada uprawnień do rozpatrywania sprawy dotyczącej przetwarzania danych osobowych zawartych w ramach sprawowania przez ten Sąd wymiaru sprawiedliwości. Zaznaczył, że działalność orzeczniczą sądów, stanowiącą przejaw sprawowania wymiaru sprawiedliwości, określają m.in. przepisy Kodeksu postępowania cywilnego, gdzie szczegółowo i kompleksowo uregulowano czynności dotyczące doręczenia pozwu wraz z załącznikami stronie pozwanej w procesie cywilnym. Tworzą tym samym ramy prawne sprawowania przez sąd wymiaru sprawiedliwości w przedmiocie spraw z zakresu prawa cywilnego. Sąd Okręgowy w K. powołał się także na wyrok Trybunału Sprawiedliwości Unii Europejskiej z dnia 24 marca 2022 r., sygn. akt. C-245/20, wskazując, że spod właściwości organu nadzorczego wyłączone są operacje przetwarzania, których nadzorowanie przez organ nadzorczy mogłoby bezpośrednio lub pośrednio wpłynąć na niezależność członków tych sądów lub wpłynąć na ich decyzje. Podkreślił, że sprawowanie wymiaru sprawiedliwości obejmuje czynności związane z doręczeniem stronom pism procesowych, w tym odpisu pozwu stronie pozwanej. Odpis pozwu jest pismem sądowym pozostającym w bezpośrednim związku z postępowaniem sądowym, dla którego przekazania właściwe prawo krajowe przewiduje sformalizowane doręczenie. W związku z powyższym wskazano, że zgodnie z art. 2051 § 1 i 2 Kodeksu postępowania cywilnego, przewodniczący zarządza doręczenie pozwu pozwanemu i wzywa go do złożenia odpowiedzi na pozew w wyznaczonym terminie, nie krótszym niż dwa tygodnie. O zarządzeniu doręczenia pozwu zawiadamia się powoda.
Sąd Okręgowy w K. wyjaśnił, że w okolicznościach omawianej sprawy odpis pozwu wraz z załącznikami w sprawie [...] został doręczony pozwanemu zgodnie z zarządzeniem sędziego za pośrednictwem Konsulatu Generalnego RP w M., w drodze pomocy prawnej na podstawie art. 1130 i nast. Kodeksu postępowania cywilnego oraz § 37 i nast. rozporządzenia Ministra Sprawiedliwości z dnia 28 stycznia 2002 r. w sprawie szczegółowych czynności sądów w sprawach z zakresu międzynarodowego postępowania cywilnego oraz karnego w stosunkach międzynarodowych. Rozporządzenie to przewiduje doręczenie korespondencji za pomocą konsulów RP. Korespondencję kierowaną do placówek dyplomatycznych podpisuje sędzia, a pismo opatruje się m.in. pieczęcią urzędową (§ 14 ust. 1 i 2 rozporządzenia). W związku z powyższym, w ocenie Sądu Okręgowego w K., działania sędziego w sprawie [...] w zakresie przetwarzanych danych osobowych, związane z doręczeniem stronie pozwanej odpisu pozwu wraz z załącznikami nastąpiło w ramach sprawowania wymiaru sprawiedliwości, czyli w zakresie nienależącym do kompetencji Prezesa UODO. Sąd Okręgowy w K. wskazał bowiem, że Prezes UODO nie może ingerować w wewnętrzną organizację pracy Sądu, a w szczególności w zasady obiegu dokumentacji procesowej, skoro obieg ten odbywa się w związku ze sprawowaniem przez sąd wymiaru sprawiedliwości. Sąd, doręczając odpis pozwu wraz z załącznikami stronie pozwanej, działa w ramach sprawowania wymiaru sprawiedliwości, bowiem czynności te mają wymierny wpływ na treść orzeczenia wydanego przez Sąd w postępowaniu. Wobec powyższego w okolicznościach sprawy zasadnym jest, zdaniem Sądu Okręgowego w K., umorzenie postępowania ze względu na brak właściwości rzeczowej Prezesa UODO. Zgodnie bowiem z art. 175dd § 1 ustawy Prawo o ustroju sądów powszechnych organem nadzorczym wobec Sądu jako administratora danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej nie jest Prezes UODO, a jest nim - w stosunku do podległego sądu okręgowego - prezes sądu apelacyjnego. (...) Wykonywanie przez Prezesa UODO - jako organ właściwy w sprawach ochrony danych - nadzoru nad przetwarzaniem danych w zakresie orzekania przez sądy, mogłoby stanowić niedopuszczalną ingerencję w ich działalność orzeczniczą. Brak właściwości rzeczowej organu - Prezesa UODO, który nie jest uprawniony do wydania merytorycznego rozstrzygnięcia w przedmiotowej sprawie, determinuje bezprzedmiotowość postępowania administracyjnego.
Niezależnie od powyższego Sąd Okręgowy w K. dodał, że zarzut naruszenia ochrony danych osobowych poprzez dostarczenie adresatowi uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe, pozostaje całkowicie chybiony i bezpodstawny. W sprawie o sygn. [...] sędzia sprawozdawca działając w oparciu o obowiązujące normy prawne pismem z dnia 11 maja 2022 r. zwróciła się bowiem do Konsula Generalnego RP w M. w ramach pomocy prawnej o doręczenie pozwanemu odpisu pozwu wraz z załącznikami (szczegółowo wyliczonymi w piśmie przewodnim). Korespondencji nadano właściwy bieg i skierowano do wysyłki w dniu 3 czerwca 2022 r. - zgodnie z zasadami wynikającymi z rozporządzenia w sprawie szczegółowych czynności sądów w sprawach z zakresu międzynarodowego postępowania cywilnego oraz karnego w stosunkach międzynarodowych. Konsulat Generalny RP w M. w dniu 11 lipca 2022 r. przekazał adresatowi przesyłkę pocztą poleconą za potwierdzeniem odbioru. Zgodnie z informacją dostępną w elektronicznym systemie operatora pocztowego R., przesyłka została w dniu 23 lipca 2022 r. doręczona adresatowi (brak adnotacji o jakichkolwiek uszkodzeniach w trakcie transportu - zapisy w systemach pocztowych).
Do ww. wyjaśnień Sąd Okręgowy w K. załączył "Raport z naruszenia bezpieczeństwa danych osobowych/informacji z dnia 26 sierpnia 2022 r." opisujący zdarzenie.
Z kolei organ wskazał, że w wyniku ww. zdarzenia doszło do powstania naruszenia zarówno poufności jak i dostępności danych (pkt 4E formularza zgłoszenia przesłanego przez Ministra Spraw Zagranicznych). W ocenie Ministra Spraw Zagranicznych dotyczyło ono następującego zakresu danych: imienia i nazwiska, adresu zamieszkania lub pobytu, oraz innych informacji związanych z samym postępowaniem sądowym.
W piśmie z dnia 22 października 2022 r. Sąd Okręgowy w K. wyjaśnił natomiast, że naruszenie obejmowało dane osobowe siedmiu osób w następującym zakresie: 1) powódki: jej imię i nazwisko, numer PESEL, adres zamieszkania, datę urodzenia, dane zawarte w dokumentacji medycznej, numer konta bankowego, 2) pozwanego: jego imię i nazwisko, numer PESEL, adres zamieszkania, datę urodzenia, wizerunek zawarty na fotografii, 3) dane osobowe dwojga dzieci: ich imiona i nazwiska, numery PESEL, adres zamieszkania, daty urodzenia, dane zawarte w opinii psychologicznej, 4) dane osobowe trzech świadków: ich imiona i nazwiska, numery telefonów, adresy zamieszkania, adresy mailowe (w przypadku dwóch świadków). Sąd Okręgowy w K. oświadczył, że postępowanie sądowe dotyczyło rozwiązania małżeństwa.
Z przesłanego przez Sąd raportu z dnia 26 sierpnia 2022 r. z naruszenia ochrony danych osobowych, wynika m.in., że uszkodzona przesyłka dotyczyła pozwu wraz z załącznikami. Operator nie odnotował uszkodzeń w trakcie transportu, jednakże adresat korespondencji zgłosił do ww. Konsulatu RP jej uszkodzenie i niekompletność.
W piśmie z dnia 9 stycznia 2023 r. Sąd Okręgowy w K. odpowiadając na wezwanie organu z dnia 4 stycznia 2023 r. dotyczące wskazania działań, które pozwoliły Sądowi na stwierdzenie, iż korespondencja nie była ani uszkodzona ani niekompletna, wyjaśnił, że "brak jest (...) jakichkolwiek przesłanek by stwierdzić, że korespondencja została wysłana jako niekompletna, bądź też nie została właściwie zabezpieczona. Dochowane zostały wszystkie procedury wynikające z przepisów kodeksu postępowania cywilnego". Sąd Okręgowy w K. nie wyjaśnił jednak, w jaki sposób stwierdził powyższe.
Prezes UODO wskazał, że w aktach sprawy znajdują się trzy zdjęcia przedmiotowej przesyłki wykonane przez jej adresata. Pierwsze zdjęcie ukazuje zapakowaną w folię korespondencję z widocznie rozerwaną papierową kopertą znajdującą się w środku, drugie zdjęcie pokazuje paczkę/korespondencję już bez folii, ale ze znacząco rozerwaną kopertą papierową umożliwiającą wyjęcie wszystkich zawartych w niej dokumentów, zaś trzecie pokazuje jak jej adresat odchyla uszkodzoną kopertę by pokazać jej zawartość. Zdjęcia zostały przesłane organowi przez Ministra Spraw Zagranicznych.
Uwzględniając powyższe okoliczności organ wyjaśnił, że przedmiotem prowadzonego postępowania było naruszenie przez Administratora, tj. Sąd Okręgowy w K. art. 33 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679, wynikające z niezgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz niezawiadomienia osób nim objętych w związku z dostarczeniem adresatowi przez operatora pocztowego uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe, wysłanej przez Konsulat Generalny RP w M. na wniosek Sądu Okręgowego w K. Organ wskazał, że zbadał, czy zgłoszone przez Ministra Spraw Zagranicznych zdarzenie stanowiło naruszenie ochrony danych osobowych, jak również czy Prezes UODO jest właściwym organem nadzorczym do weryfikacji prawidłowości przestrzegania przepisów rozporządzenia 2016/679 przez Administratora danych objętych ww. zdarzeniem, tj. czy w tym przypadku miało miejsce sprawowanie przez Sąd Okręgowy w K. wymiaru sprawiedliwości lub ochrony prawnej.
W ocenie organu z uwagi na to, że zgłoszone zdarzenie polegało na dostarczeniu przez operatora pocztowego do adresata uszkodzonej i niekompletnej przesyłki, doszło do naruszenia ochrony danych osobowych w związku z naruszeniem poufności danych (korespondencja została dostarczona w uszkodzonej kopercie), a także ich dostępności (adresat zgłosił Ministrowi Spraw Zagranicznych niekompletność przesyłki). Sąd Okręgowy w K. na żadnym etapie prowadzonego postępowania nie wykazał, aby opisane przez Ministra Spraw Zagranicznych zdarzenie nie miało miejsca.
Prezes UODO uznał także, że jest organem nadzorczym właściwym do dokonania oceny ww. naruszenia. Zgodnie z art. 55 ust. 3 rozporządzenia 2016/679 organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Natomiast dostarczenie korespondencji nie stanowi sprawowania przez Sąd wymiaru sprawiedliwości, ani ochrony prawnej, lecz techniczną, administracyjną czynność sądu. Tym samym brak jest przesłanki wyłączającej w takiej sytuacji kompetencje Prezesa UODO jako organu nadzorczego.
Prezes UODO wskazał, że zgodnie z art. 175dd § 1 ustawy Prawo o ustroju sądów powszechnych nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db, wykonują w zakresie działalności sądu: rejonowego - prezes sądu okręgowego; okręgowego - prezes sądu apelacyjnego; sądu apelacyjnego - Krajowa Rada Sądownictwa. Natomiast w zakresie spraw, które nie wchodzą w zakres pojęcia "sprawowania wymiaru sprawiedliwości", właściwym organem nadzorczym wobec sądów powszechnych jest Prezes UODO.
Zdaniem organu pojęcie sprawowania wymiaru sprawiedliwości w kontekście ram ochrony danych osobowych ustanowionych przez rozporządzenia 2016/679 należy rozumieć wąsko. Powołał się przy tym na wyrok Trybunału Konstytucyjnego z dnia 1 grudnia 2008 r., sygn. P 54/07, w którym wskazano, że "zgodnie z dominującym poglądem doktryny prawa wymiar sprawiedliwości stanowi działalność państwa polegającą na sądzeniu, czyli wiążącym rozstrzyganiu sporów o prawo, w których przynajmniej jedną ze stron jest jednostka lub inny podmiot podobny (zob. L. Garlicki, Polskie prawo konstytucyjne. Zarys wykładu, Warszawa 2006, s. 342; Z. Czeszejko-Sochacki, O wymiarze sprawiedliwości w świetle Konstytucji, międzynarodowych standardów i praktyki, "Państwo i Prawo" z. 9/1999, s. 3; S. Włodyka, Ustrój organów ochrony prawnej, Warszawa 1968, s. 16)".
Organ dodał jednak, że sądy poza sferą orzeczniczą wykonują również działalność administracyjną, której istota sprowadza się do zapewnienia odpowiednich warunków techniczno-organizacyjnych dla wykonywania przez sąd powierzonych mu zadań z zakresu sprawowania wymiaru sprawiedliwości i ochrony prawnej. Zgodnie z art. 8 ustawy Prawo o ustroju sądów powszechnych działalność administracyjna sądów polega na: zapewnieniu odpowiednich warunków techniczno-organizacyjnych oraz majątkowych funkcjonowania sądu i wykonywania przez sąd zadań, o których mowa w art. 1 § 2 i 3 (pkt 1); zapewnieniu właściwego toku wewnętrznego urzędowania sądu, bezpośrednio związanego z wykonywaniem przez sąd zadań, o których mowa w art. 1 § 2 i 3 (pkt 2). Tym samym czynności o charakterze stricte technicznym wykonywane przez urzędnika sądowego, a następnie operatora pocztowego, takie jak wysyłanie korespondencji stosownie do zarządzenia lub polecenia sędziego, nie mieszczą się w sferze "sprawowania wymiaru sprawiedliwości", natomiast należą do sfery administracyjnej działalności sądu.
Organ zaznaczył, że zajmując się przedmiotową sprawą nie ingeruje w zasady doręczania pism procesowych, ani w to, jakie dokumenty powinny zostać doręczone adresatowi. W zasięgu jego zainteresowania pozostaje wyłącznie utrata poufności danych oraz ich niekompletność (art. 5 ust. 1 lit. f rozporządzenia 2016/679) w następstwie działania operatora pocztowego, co mieści się w zakresie działalności administracyjnej sądu. Stwierdzone nieprawidłowości korespondują z uprawnieniami naprawczymi Prezesa UODO, które nie mają wpływu na toczące się postępowanie (np. nie prowadzą do wstrzymania toczącego się postępowania lub do nakazania usunięcia części zeznań świadka) oraz na naruszenie niezawisłości sądu. Polegają bowiem jedynie na nakazaniu administratorowi dostosowania operacji przetwarzania do przepisów rozporządzenia 2016/679.
Niezależnie od powyższego organ wskazał, że Prezes Sądu Apelacyjnego w K. w przedmiotowej sprawie nie może zostać uznany za organ nadzorczy nad Sądem Okręgowym w K. W świetle bowiem art. 175dd ustawy Prawo o ustroju sądów powszechnych sądowe organy nadzorcze (a więc także Prezes Sądu Apelacyjnego w K.) nie są uprawnione do przyjmowania zgłoszeń naruszeń ochrony danych osobowych (art. 33 rozporządzenia 2016/679), ani oceny, czy w związku z naruszeniem ochrony danych osobowych wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, skutkujące koniecznością zawiadamiania osób, których dane dotyczą, o naruszeniu (art. 34 ww. rozporządzenia).
Następnie organ stwierdził, że badając przedmiotowe zdarzenie ocenił je jako naruszenie poufności (kwestii bezpieczeństwa danych - uszkodzona koperta, do zawartości której mogły mieć dostęp osoby nieuprawnione), jak również dostępności (brak niektórych dokumentów). Organ zaznaczył, że nie ma przy tym znaczenia, iż zawinił operator pocztowy uszkadzając przesyłkę, bowiem przedmiotem niniejszego postępowania jest brak zgłoszenia naruszenia ochrony danych oraz brak zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
Organ zaznaczył, że analizując zgłoszone przez Ministra Spraw Zagranicznych naruszenie ochrony danych osobowych, których administratorem jest Sąd Okręgowy w K., w żaden sposób nie oddziałuje na niezawisłość sądu, nie wpływa bowiem na rozstrzygnięcie Sądu, czy poszczególne decyzje podejmowane przez Sąd w ramach prowadzonego postępowania. Prezes UODO jest natomiast uprawniony do kontrolowania i weryfikowania prawidłowości stosowania przepisów o ochronie danych osobowych, w tym stosowanych zabezpieczeń przez administratora danych (m.in. reakcji administratora na powstałe naruszenie ochrony danych) oraz realizacji obowiązków wynikających z art. 33 i art. 34 rozporządzenia 2016/679. Sposób zabezpieczenia danych osobowych przez Sąd nie podlega kontroli instancyjnej w ramach funkcji orzeczniczej i nie odnosi się do sprawowania wymiaru sprawiedliwości przez sąd. Tym samym podlega kontroli Prezesa UODO, podobnie jak realizacja obowiązków administratora wynikających z ww. przepisów rozporządzenia 2016/679.
Prezes UODO wskazał, że jeśli doszło do naruszenia ochrony danych osobowych w związku z administracyjną częścią działalności sądu, to powinno ono zostać zgłoszone w trybie przewidzianym w art. 33 ust. 1 rozporządzenia 2016/679 do Prezesa UODO - jako właściwego organu nadzorczego. Organ podkreślił przy tym raz jeszcze, że do kompetencji organów nadzorczych, o których mowa w art. 175dd § 1 ustawy Prawo o ustroju sądów powszechnych, nie należy przyjmowanie zgłoszeń naruszeń ochrony danych osobowych, czy też ich merytoryczna ocena. Zakres kompetencji tych organów został bowiem enumeratywnie wyliczony w art. 175dd § 2 i § 3 ww. ustawy i jest to katalog zamknięty.
Organ wyjaśnił, że zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Natomiast z art. 33 ust. 3 ww. rozporządzenia wynika, że zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Odnosząc się zaś do praw lub wolności osób objętych naruszeniem, Prezes UODO wskazał, że zgodnie z art. 34 ust. 1 rozporządzenia 2016/679 jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Natomiast w art. 34 ust. 2 ww. rozporządzenia wskazano, że zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, lit. c i lit. d ww. rozporządzenia.
Prezes UODO stwierdził, że w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych siedmiu osób, przy czym wobec czterech z nich powstało wysokie ryzyko naruszenia ich praw lub wolności z uwagi na zakres naruszonych danych osobowych. W przypadku powódki naruszenie obejmowało m.in. jej numer PESEL oraz dane o stanie zdrowia zawarte w dokumentacji medycznej, w przypadku pozwanego jego numer PESEL, a w przypadku dwojga dzieci informacje o ich stanie zdrowia (zawartych w opinii psychologicznej). Dane te zawarte były w dokumentacji przesłanej stronie postępowania rozwodowego. Organ podkreślił, że informację o naruszeniu ochrony danych osobowych otrzymał od innego podmiotu niż Administrator.
Prezes UODO podkreślił, że przed wszczęciem postępowania administracyjnego w pierwszej kolejności zwrócił się do Sądu Okręgowego w K. (dwukrotnie) z zapytaniem czy dysponuje wiedzą na temat przedmiotowego naruszenia, jednak Sąd Okręgowy w K. w odpowiedzi na powyższe prezentował jedynie stanowisko, że jego zdaniem Prezes UODO nie jest organem właściwym do zbadania tego zdarzenia, nie udzielając odpowiedzi na zadane przez organ pytania, utrudniając jednocześnie zbadanie przedmiotowego zdarzenia. To spowodowało wszczęcie przez organ postępowania z urzędu.
Organ wskazał, że z materiału dowodowego sprawy wynika, że Sąd Okręgowy w K. dokonał sprawdzenia otrzymanej od Ministra Spraw Zagranicznych informacji o niekompletnej i uszkodzonej przesyłce wyłącznie w systemie operatora pocztowego, uznając, że brak adnotacji w tym zakresie świadczy o tym, iż nie doszło do incydentu (świadczy o tym Raport z naruszenia bezpieczeństwa danych osobowych/informacji z dnia 26 sierpnia 2022 r.). Natomiast Prezes UODO w toku postępowania ustalił, iż otrzymana przez jej adresata koperta wraz z dokumentami była dość istotnie uszkodzona (co potwierdzają zdjęcia przesyłki otrzymane od Ministra Spraw Zagranicznych). Uszkodzenie koperty umożliwiało zapoznanie się z jej zawartością, tj. dokumentami zawierającymi dane osobowe w ww. zakresie.
Organ podkreślił również, że zwrócił się do Sądu Okręgowego w K. z pytaniem o podjęte działania przez Administratora, które pozwoliły mu na stwierdzenie, że korespondencja nie była uszkodzona, ani niekompletna, pomimo informacji przekazanej przez Ministra Spraw Zagranicznych, lecz Sąd ograniczył się do wskazania, że nie stwierdził żadnych uchybień leżących po jego stronie w zakresie doręczenia korespondencji i uznał, że brak jest przesłanek do przyjęcia, że korespondencja dotarła do adresata niekompletna czy niewłaściwie zabezpieczona. Prezes UODO wskazał, że dokonał jednak odmiennych ustaleń w oparciu o otrzymane od Ministra Spraw Zagranicznych zdjęcia i w konsekwencji stwierdził, że wystąpiło ryzyko naruszenia poufności danych, jak również kompletności (naruszenie dostępności). Organ zaznaczył, że zawartość przedmiotowej korespondencji (dokumentacja medyczna powódki, opinia psychologiczna dotycząca dzieci, ich numery PESEL, opisy samego małżeństwa) powoduje, że postępowanie ze zdarzeniem obejmującym swym zakresem takie dane powinno być uznawane za wymagające szczególnej uwagi i staranności po stronie Administratora danych. Każda z tych danych oznacza bowiem wysokie ryzyko naruszenia praw lub wolności osób, których dane te dotyczą. W niniejszej sprawie organ przypomniał, że wysokie ryzyko naruszenia praw lub wolności dotyczyło czterech osób. Prezes UODO podkreślił jednocześnie łatwość identyfikacji tych osób, w oparciu o ww. dane.
Powołując się na "Wytyczne EROD 9/2022 w sprawie zgłaszania naruszeń danych osobowych zgodnie z RODO" oraz "Wytyczne EROD 01/2021 w sprawie przykładów dotyczących zgłaszania naruszeń ochrony danych osobowych" organ stwierdził, iż z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz dane o stanie zdrowia, istnieje wysokie prawdopodobieństwo wystąpienia negatywnych skutków, takich jak: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna.
Uzasadniając powyższe stanowisko organ odwołał się do Wytycznych EROD 01/2021 (przypadek nr 14, punkty 65 i 66), wyroków Wojewódzkiego Sądu Administracyjnego w Warszawie: z dnia 22 września 2021 r. sygn. akt II SA/Wa 791/21, z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 4143/21, z dnia 31 sierpnia 2022 r. sygn. akt II SA/Wa 2993/21 oraz Raportu infoDOK (przygotowanego w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu "Dokumenty Zastrzeżone"). Zaznaczył przy tym, że wykonanie przez Administratora jego obowiązku wynikającego z art. 33 ust. 1 oraz 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zmaterializowania się ryzyka wynikającego z naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W analizowanym przypadku wystąpiła możliwość zmaterializowania się doniosłych, negatywnych konsekwencji dla osób, których dane dotyczą, zatem wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Determinowało to obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu osób objętych naruszeniem ochrony danych osobowych. Biorąc pod uwagę charakter naruszenia oraz kategorie danych (imię, nazwisko, PESEL), które uległy naruszeniu, Administrator powinien wskazać osobie, której dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia jej danych osobowych, tj. możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, pożyczki w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby tak, aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych. Natomiast w przypadku pozostałych danych objętych naruszeniem ochrony danych osobowych, Administrator powinien wskazać: dyskryminację, naruszenie dóbr osobistych, pomawianie albo inną formę prześladowania tych osób, z uwagi na ujawnione dane o stanie zdrowia.
Organ podkreślił, iż zawiadamiając bez zbędnej zwłoki podmiot danych, Administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Natomiast podejmując decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, Administrator w praktyce pozbawił te osoby przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.
Prezes UODO stwierdził ponadto, że Inspektor ochrony danych Sądu błędnie ocenił poziom ryzyka naruszenia praw lub wolności osób fizycznych w związku z przedmiotowym naruszeniem ochrony danych osobowych. Wskazał bowiem, że z uwagi na to, że dokumenty zostały sporządzone w języku polskim, a wysłano je do Wielkiej Brytanii, to nie powoduje to powstania wysokiego ryzyka w tym zakresie. Zdaniem organu okoliczność, że dokumenty zawierające dane osobowe były sporządzone w języku polskim i wysłane do kraju, w którym językiem podstawowym jest język angielski, nie obniża jednak poziomu tego ryzyka. W dobie instrumentów pozwalających na szybkie tłumaczenie całych dokumentów, jak również z uwagi na fakt, iż w Wielkiej Brytanii spora część mieszkańców posługuje się językiem polskim, nie można przyjmować, że okoliczność ta pozwala na obniżenie poziomu ryzyka.
Organ wskazał także, że dostrzega fakt, że za dostarczenie ww. dokumentacji odpowiadał operator pocztowy, jednak zaznaczył jednocześnie, że uszkodzenie dokumentów, czy też zagubienie ich części przez operatora pocztowego, rodzi określone obowiązki wynikające z przepisów RODO po stronie Administratora (Sądu), a ich niedopełnienie skutkuje odpowiedzialnością Administratora, co implikuje zastosowanie przez organ uprawnień naprawczych.
W konsekwencji Prezes UODO stwierdził, że w niniejszej sprawie Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 ww. rozporządzenia, co oznacza naruszenie przez Administratora ww. przepisów rozporządzenia i dlatego też organ uznał za zasadne skierowanie do Sądu Okręgowego w K. decyzji nakazującej zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
Ponadto, obok nałożenia obowiązków określonych w punktach 1-3 sentencji decyzji organ stwierdził podstawy do nałożenia na Administratora administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a rozporządzenia 2016/679 biorąc pod uwagę, stosownie do art. 83 ust. 2 lit. a-k rozporządzenia, niżej wymienione okoliczności:
1) Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczba poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Organ wskazał, że stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter. Brak zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych może doprowadzić do szkód majątkowych lub niemajątkowych, a prawdopodobieństwo ich wystąpienia jest wysokie. Informacje zawarte w korespondencji dotyczą sytuacji rodzinnej osób objętych naruszeniem, a więc świadczą o osobistym charakterze tych informacji. To z kolei ma wpływ na poziom ryzyka naruszenia praw lub wolności osób objętych naruszeniem. Za okoliczność obciążającą organ uznał długi czas trwania naruszenia. Od powzięcia przez Administratora informacji o naruszeniu ochrony danych osobowych (w dniu 1 sierpnia 2022 r., tj. data doręczenia pisma Konsulatu RP z dnia 25 lipca 2022 r.) do dnia wydania niniejszej decyzji upłynęło 16 miesięcy, w trakcie których (wysokie) ryzyko naruszenia praw lub wolności czterech osób mogło się zrealizować, a któremu to ryzyku osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Administratora z obowiązku powiadomienia ich o naruszeniu.
2) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Administrator podjął świadomą decyzję, by nie zawiadamiać o naruszeniu ochrony danych osobowych Prezesa UODO, jak i osób, których dane dotyczą pomimo faktu, że Prezes UODO w pierwszej kolejności informował Administratora o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych. Samo wszczęcie przez organ postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do słuszności przyjętego przez niego stanowiska.
3) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Naruszenie ochrony danych osobowych swoim zakresem objęło dane osobowe siedmiu osób, z czego w przypadku czterech wystąpiło wysokie ryzyko naruszenia ich praw lub wolności. Postępowanie sądowe dotyczyło rozwiązania małżeństwa. Zakres danych świadczy o powstaniu wysokiego poziomu ryzyka naruszenia praw lub wolności tych osób, w szczególności z uwagi na numer PESEL oraz informacje o stanie zdrowia - dane objęte szczególną ochroną na gruncie art. 9 rozporządzenia.
Organ wskazał także, że ustalając wysokość administracyjnej kary pieniężnej, nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 1 lit. a-j rozporządzenia 2016/679 w ocenie organu stanowią albo przesłanki obciążające albo jedynie neutralne. Organ dodał, że również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k ww. rozporządzenia nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy, nie znaleziono żadnych okoliczności łagodzących, a jedynie neutralne.
Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne, tj. niemające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej, tj.:
1) Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Na podstawie zgromadzonego w sprawie materiału dowodowego nie stwierdzono podjęcia przez Administratora takich działań.
2) Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i art. 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi.
3) Wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Prezes UODO nie stwierdził jakichkolwiek, dokonanych przez Administratora, wcześniejszych naruszeń przepisów o ochronie danych osobowych, co jednak nie może mieć wpływu łagodzącego na dokonaną przez Prezesa UODO ocenę naruszenia.
4) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych, negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W toku postępowania wyjaśniającego oraz w toku wszczętego postępowania administracyjnego Administrator udzielał na wezwania organu nadzorczego odpowiedzi mających na celu wyjaśnienie wszelkich okoliczności związanych z naruszeniem ochrony danych osobowych.
5) Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O zaistnieniu naruszenia ochrony danych osobowych, tj. o doręczeniu przez operatora pocztowego adresatowi uszkodzonej i niekompletnej przesyłki, Prezes UODO został poinformowany przez Ministra Spraw Zagranicznych, a nie przez Administratora. Brak dopełnienia obowiązku z art. 33 i art. 34 rozporządzenia 2016/679 jest jednak jedynym przedmiotem niniejszego postępowania, zatem przesłanka ta nie stanowi okoliczności obciążającej.
6) Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem przedmiotowej decyzji Prezes UODO nie stosował wobec Administratora żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679. Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.
7) Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Natomiast na korzyść Administratora mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.
8. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, aby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora.
9. Inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie odnotował innych, niż opisane powyżej, okoliczności mogących mieć wpływ na ocenę naruszenia i na wysokość orzeczonej administracyjnej kary pieniężnej.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia zatem funkcje, o których mowa w art. 83 ust. 1 rozporządzenia - jest skuteczna, proporcjonalna i odstraszająca, a także ma charakter represyjny, bowiem stanowić będzie odpowiedź na naruszenie przez Administratora przepisów rozporządzenia. Spełniać będzie również funkcję prewencyjną, bowiem zwróci uwagę - zarówno Administratora, jak i innych administratorów danych - na naganność lekceważenia obowiązków związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu zapobieżenie jego negatywnym skutkom, a także ich usunięcie lub przynajmniej ograniczenie.
Końcowo organ wskazał, że zgodnie z art. 33 ust. 5 rozporządzenia 2016/679 administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania niniejszego przepisu. Z uwagi na to, że Administrator przedłożył w toku postępowania dokument oznaczony jako Raport z naruszenia bezpieczeństwa danych osobowych informacji z dnia 26 sierpnia 2022 r. organ uznał, iż Sąd Okręgowy w K. prowadzi dokumentację związaną z naruszeniami ochrony danych osobowych, w tym dokumentację dotyczącą przedmiotowego naruszenia ochrony danych osobowych. Wprawdzie zawarta w nim ocena zdarzenia jest nieprawidłowa, jednakże nie może to stanowić zarzutu naruszenia ww. przepisu rozporządzenia. Postępowanie w tym zakresie podlegało zatem umorzeniu jako bezprzedmiotowe na podstawie art. 105 § 1 Kodeksu postępowania administracyjnego.
W piśmie z dnia 18 stycznia 2024 r. strona skarżąca wywiodła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na ww. decyzję Prezesa Urzędu Ochrony Danych Osobowych i wnosząc o dopuszczenie i przeprowadzenie dowodu ze wskazanych w skardze dokumentów, a także o uchylenie zaskarżonej decyzji w całości i umorzenie postępowania oraz zasądzenie na rzecz strony skarżącej kosztów postępowania, zaskarżonemu rozstrzygnięciu zarzuciła:
I. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, a to:
1. art. 7, art. 77 § 1 oraz art. 80 Kodeksu postępowania administracyjnego polegające na niewyczerpującym zebraniu i rozpatrzeniu całego materiału dowodowego, niepodjęcie wszelkich kroków niezbędnych do dokładnego wyjaśnienia stanu faktycznego oraz załatwienie sprawy poprzez niewyjaśnienie wszystkich okoliczności istotnych dla rozstrzygnięcia i jego oparcie na niepełnym materiale dowodowym, a to:
a. niewyjaśnienie, na jakim etapie doszło do uszkodzenia korespondencji skierowanej do pozwanego w związku z realizacją wniosku sędziego o udzielenie pomocy prawnej z dnia 11 maja 2022 r. w sprawie o sygn. akt [...] i oparcie rozstrzygnięcia w tej kwestii jedynie na informacji adresata (pozwanego), że doręczono mu uszkodzoną przesyłkę, a tym samym niewystarczające ustalenie, iż w sprawie doszło do naruszenia danych osobowych;
b. niewyjaśnienie, jakie dokładnie dokumenty zawierała uszkodzona korespondencja skierowana do pozwanego w związku z realizacją wniosku sędziego o udzielenie pomocy prawnej z dnia 11 maja 2022 r. w sprawie o sygn. akt [...] oraz jaki był skutek procesowy wykonania tego wniosku, w sytuacji gdy wskazana korespondencja zawierała pozew o rozwód, wezwanie do złożenia odpowiedzi na pozew, pouczenia i odpis postanowienia Sądu z dnia 11 maja 2022 r. z pouczeniem, a na skutek wykonania odezwy sędzia w sprawie o sygn. akt [...] uznał skuteczność doręczenia i skierował akta na kalendarz do złożenia odpowiedzi na pozew, tym samym zgłoszenie zdarzenia naruszenia danych osobowych złożone przez Ministra Spraw Zagranicznych polegającego na "dostarczeniu adresatowi przez operatora pocztowego R. uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe, wysłanej przez Konsulat Generalny RP w M. na wniosek Sądu Okręgowego w K. (...)" nastąpiło w związku z niezawisłym sprawowaniem wymiaru sprawiedliwości albo realizacją zadań z zakresu ochrony prawnej, albowiem korespondencja ta zawierała pisma sądowe i procesowe ekspediowane do strony pozwanej w ramach toczącego się postępowania o rozwód, a ich doręczenie wywołało skutki prawne wynikające z przepisów Kodeksu postępowania cywilnego;
II. naruszenie przepisów prawa materialnego, które miało istotny wpływ na wynik sprawy, a to:
1. art. 7 ust. 1 i 2, art. 60, art. 102 ust. 1 pkt. 1 i ust. 3 ustawy o ochronie danych osobowych oraz art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. e i lit. i, art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a w związku z art. 33 ust. 1 i ust. 3, ust. 5 oraz art. 34 ust. 1 i ust. 2, ust. 4 rozporządzenia 2016/679, poprzez ich błędną wykładnię i zastosowanie w sprawie, polegające na przyjęciu że Prezes Urzędu Ochrony Danych Osobowych jest organem właściwym do rozpoznania sprawy ze zgłoszenia zdarzenia naruszenia danych osobowych złożonego przez Ministra Spraw Zagranicznych polegającego na "dostarczeniu adresatowi przez operatora pocztowego R. uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe, wysłanej przez Konsulat Generalny RP w M. na wniosek Sądu Okręgowego w K. (...)" podczas gdy, zdarzenie to nastąpiło w związku z niezawisłym sprawowaniem wymiaru sprawiedliwości albo realizacją zadań z zakresu ochrony prawnej przez Sąd Okręgowy w K., a tym samym Prezes Urzędu Ochrony Danych Osobowych nie jest właściwym organem nadzorczym do weryfikowania prawidłowości przestrzegania przepisów powyższego rozporządzenia przez administratora danych i nałożenia administracyjnej kary pieniężnej;
2. art. 55 ust. 3 rozporządzenia 2016/679, poprzez jego błędną wykładnię i zastosowanie w sprawie, polegające na przyjęciu, że doręczenie korespondencji sądowej w postaci pozwu wraz z załącznikami (wezwaniem do złożenia odpowiedzi na pozew, odpisem postanowienia Sądu z dnia 11 maja 2022 r. wraz z pouczeniem) nie stanowi sprawowania przez Sąd Okręgowy w K. wymiaru sprawiedliwości ani zadań z zakresu ochrony prawnej, lecz jest techniczną, administracyjną czynnością Sądu, podczas gdy doręczenie tej korespondencji nastąpiło na wniosek sędziego z dnia 11 maja 2022 r. o udzielnie pomocy prawnej poprzez doręczenie dokumentów pozwanemu w ramach prowadzonego postępowania o sygn. [...] z powództwa U. O. przeciwko M. O. o rozwód zgodnie z przepisami Kodeksu postępowania cywilnego (art. 1134), Rozporządzeniem Ministra Sprawiedliwości z dnia 28 stycznia 2002 r. w sprawie szczegółowych czynności sądów w sprawach z zakresu międzynarodowego postępowania cywilnego oraz karnego w stosunkach międzynarodowych (§ 37 i nast.) oraz ustawą Prawo konsularne (26 ust. 1 ustawy);
3. art. 175dd § 1 pkt 2, § 2 pkt 1 w związku z art. 175db, art. 175da ustawy Prawo o ustroju sądów powszechnych, poprzez ich nie zastosowanie w sprawie i uznanie, że nadzór nad przetwarzaniem danych osobowych w związku ze zgłoszeniem zdarzenia naruszenia danych osobowych złożonym przez Ministra Spraw Zagranicznych polegającym na "dostarczeniu adresatowi przez operatora pocztowego R. uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe, wysłanej przez Konsulat Generalny RP w M. na wniosek Sądu Okręgowego w K. (...)" sprawuje Prezes Urzędu Ochrony Danych Osobowych, podczas gdy nadzór ten wykonuje Prezes Sądu Apelacyjnego w K. jako organ uprawniony do jego sprawowania w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie podtrzymując w całości stanowisko wyrażone w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 listopada 2024 r., sygn. akt II SA/Wa 252/24 uchylił powyższą decyzję Prezesa Urzędu Ochrony Danych Osobowych, umorzył postępowanie administracyjne i orzekł w przedmiocie zwrotu kosztów postępowania.
W uzasadnieniu wyroku Sąd I instancji wyjaśnił na wstępie, że zgodnie z art. 175 Konstytucji RP wymiar sprawiedliwości w Rzeczypospolitej Polskiej sprawują Sąd Najwyższy, sądy powszechne, sądy administracyjne oraz sądy wojskowe. Sprawowanie wymiaru sprawiedliwości jest natomiast emanacją prawa każdego człowieka do sądu, wyrażonym zarówno w prawie krajowym, jak i w aktach prawa międzynarodowego. Stosownie bowiem do art. 45 Konstytucji RP, każdy ma prawo do sprawiedliwego i jawnego rozpatrzenia sprawy bez nieuzasadnionej zwłoki przez właściwy, niezależny, bezstronny i niezawisły sąd. Z kolei w świetle art. 6 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności, sporządzonej w Rzymie w dniu 4 listopada 1950 r., każdy ma prawo do sprawiedliwego i publicznego rozpatrzenia jego sprawy w rozsądnym terminie przez niezawisły i bezstronny sąd ustanowiony ustawą przy rozstrzyganiu o jego prawach i obowiązkach o charakterze cywilnym albo o zasadności każdego oskarżenia w wytoczonej przeciwko niemu sprawie karnej.
Następnie Wojewódzki Sąd Administracyjny w Warszawie wyjaśnił, że zgodnie z art. 2 pkt 1 ustawy Prawo o ustroju sądów powszechnych zadania z zakresu wymiaru sprawiedliwości wykonują sędziowie. W ramach wykonywania tychże zadań sędziowie podejmują czynności związane z przetwarzaniem danych osobowych zawartych w aktach sprawy (tzw. danych orzeczniczych) w rozumieniu art. 4 pkt 1 i 2 rozporządzenia 2016/679. Przepisy te stanowią, że "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 rozporządzenia 2016/679). Z kolei "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 rozporządzenia 2016/679).
Sąd I instancji podkreślił, że ramy prawne dla przetwarzania danych osobowych przez sędziów konstytuują odpowiednie przepisy prawa. Uprawnienia dotyczące przetwarzania danych osobowych (danych orzeczniczych) są bowiem związane ze specyfiką procesu sądowego, w którym niezawiśli sędziowie występują jako osoby powołane do sprawowania wymiaru sprawiedliwości i prowadzenia konkretnego postępowania sądowego. I tak art. 55 ust. 3 rozporządzenia 2016/679 stanowi, że organy nadzorcze (danego państwa członkowskiego) nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości.
Wojewódzki Sąd Administracyjny w Warszawie wyjaśnił, że wykładni pojęcia "sprawowanie wymiaru sprawiedliwości" przez sądy dokonał Trybunał Sprawiedliwości Unii Europejskiej, dalej także jako: TSUE, w wyroku z dnia 24 marca 2022 r. sygn. C-245/20. TSUE orzekł, że art. 55 ust. 3 rozporządzenia 2016/679 należy interpretować w ten sposób, że czasowe udostępnianie dziennikarzom przez sąd pochodzących z postępowania sądowego pism procesowych zawierających dane osobowe w celu umożliwienia tym dziennikarzom pełniejszego relacjonowania przebiegu tego postępowania wchodzi w zakres sprawowania przez ten sąd "wymiaru sprawiedliwości" w rozumieniu tego przepisu. I jakkolwiek powołane orzeczenie zapadło w sprawie dotyczącej "polityki informacyjnej sądów" (w związku z udzieleniem dziennikarzowi przez Sąd dostępu do akt sprawy sądowej zawierających dane osobowe), to jednak zawarto w nim obszerne rozważania dotyczące interpretacji pojęcia "sprawowania wymiaru sprawiedliwości" przez sądy, istotne również z punktu widzenia rozstrzygnięcia niniejszej sprawy.
Jak podał Sąd I instancji, w swych rozważaniach TSUE wskazał przede wszystkim, że wiele przepisów rozporządzenia 2016/679 zawiera mechanizmy mające na celu uwzględnienie specyfiki przetwarzania danych dokonywanego przez sądy. Tak jest w szczególności w przypadku art. 55 ust. 3 tego rozporządzenia, który wyłącza jakąkolwiek właściwość organu nadzorczego w odniesieniu do operacji przetwarzania dokonywanych przez sądy "w ramach sprawowania przez nie wymiaru sprawiedliwości" (26). TSUE wyjaśnił, że art. 55 ust. 3 rozporządzenia należy interpretować w świetle motywu 20 rozporządzenia, który uściśla, że powinna istnieć możliwość powierzenia nadzoru nad operacjami przetwarzania dokonywanymi przez sądy "w ramach sprawowania [przez nie] wymiaru sprawiedliwości" specjalnym organom w systemie wymiaru sprawiedliwości danego państwa członkowskiego, a nie organowi nadzorczemu, który podlega temu państwu, by "chronić niezawisłość sprawowania wymiaru sprawiedliwości [w ramach wykonywania przez nie ich funkcji sądowniczych, w tym również przy wydawaniu orzeczeń]" (31). TSUE zwrócił zatem uwagę, że przetwarzanie danych przez sądy dokonywane jest nie tylko w związku z wydawaniem orzeczeń (rozstrzyganiem sporów sądowych), ale również w związku z pozostałymi czynnościami wykonywanymi przez sądy "w ramach sprawowania wymiaru sprawiedliwości". Odwołał się w tym względzie do opinii Rzecznika Generalnego z dnia 3 października 2021 r. w sprawie C-245/20, w której wskazano, że z samego brzmienia motywu 20 rozporządzenia 2016/679, a w szczególności z użycia sformułowania "w tym" wynika, że zakres celu art. 55 ust. 3 tego rozporządzenia, jakim jest zachowanie niezawisłości sprawowania wymiaru sprawiedliwości w ramach wykonywania przez sądy funkcji sądowniczych, nie może ograniczać się wyłącznie do gwarancji niezawisłości sędziowskiej w kontekście wydawania danego orzeczenia sądowego. Ochrona niezawisłości wymiaru sprawiedliwości zakłada bowiem co do zasady, że funkcje sądownicze są wykonywane w sposób całkowicie niezależny; sądy nie podlegają żadnej hierarchii służbowej i nie są komukolwiek podporządkowane ani nie otrzymują nakazów czy wytycznych z jakiegokolwiek źródła, a tym samym są chronione przed jakąkolwiek ingerencją lub naciskami zewnętrznymi mogącymi zaszkodzić niezależności osądu ich członków i wpływać na ich rozstrzygnięcia. Poszanowanie gwarancji niezawisłości i bezstronności wymaganych na mocy prawa Unii zakłada istnienie zasad pozwalających wykluczyć w odczuciu podmiotów prawa wszelką uzasadnioną wątpliwość co do niezależności danego organu od czynników zewnętrznych i jego neutralności względem danych interesów (...) (33).
W związku z tym, jak stwierdził TSUE, zawarte w art. 55 rozporządzenia 2016/679 odniesienie do operacji przetwarzania dokonywanych przez sądy "w ramach sprawowania przez nie wymiaru sprawiedliwości" należy rozumieć w kontekście tego rozporządzenia nie jako ograniczone do przetwarzania danych osobowych, którego sądy dokonują w ramach konkretnych spraw, lecz szerzej - jako obejmujące wszystkie operacje przetwarzania, których sądy dokonują w ramach swej działalności orzeczniczej, w związku z czym spod właściwości organu nadzorczego wyłączone są operacje przetwarzania, których nadzorowanie przez organ nadzorczy mogłoby bezpośrednio lub pośrednio wpłynąć na niezależność członków tych sądów lub wpłynąć na ich decyzje (34).
W świetle powyższego, w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie, pojęcia "sprawowania wymiaru sprawiedliwości" w rozumieniu art. 55 ust. 3 rozporządzenia 2016/679 nie należy utożsamiać z pojęciem "wymierzania sprawiedliwości" rozumianego wyłącznie jako sądzenie, tj. wydawanie orzeczeń rozstrzygających spory sądowe. "Sprawowanie wymiaru sprawiedliwości" jest pojęciem szerszym i obejmuje wszelkie operacje przetwarzania danych osobowych, których sądy dokonują w ramach swej działalności orzeczniczej. Jest to podyktowane, jak wynika z motywu 20 rozporządzenia, ochroną niezawisłości sądów.
Sąd I instancji uznał, że rację ma strona skarżąca twierdząc, że niezawisłe sprawowanie wymiaru sprawiedliwości obejmuje czynności wykonywane na zarządzenie sędziego w konkretnej sprawie sądowej, związane z doręczeniem stronom pism procesowych, w tym - jak w sprawie niniejszej - odpisu pozwu wraz ze stosownymi pouczeniami i załącznikami. Jest to bowiem czynność procesowa niezawisłego sędziego stanowiąca element zarządzania procesem orzekania. Odpis pozwu jest pismem sądowym pozostającym w bezpośrednim związku z postępowaniem sądowym, którego doręczenie, w świetle obowiązujących przepisów prawa, ma charakter sformalizowany. Jak podkreślił Sąd I instancji, przepisy Kodeksu postępowania cywilnego o doręczeniach (określone w Tytule VI, Dziale I, Rozdziale 2 "Doręczenia" oraz Dziale II, Rozdziale 2a "Organizacja postępowania") mają bowiem charakter obligatoryjny, co oznacza wyłączenie swobodnej dyspozycji stron w zakresie określania sposobu doręczenia pism procesowych.
Następnie Sąd I instancji wyjaśnił, że zgodnie z art. 2051 § 1 i § 2 Kodeksu postępowania cywilnego (według stanu prawnego obowiązującego w dacie dokonania czynności przez sędziego referenta w sprawie [...]) przewodniczący zarządza doręczenie pozwu pozwanemu i wzywa go do złożenia odpowiedzi na pozew w wyznaczonym terminie nie krótszym niż dwa tygodnie. O zarządzeniu doręczenia pozwu zawiadamia się powoda. Przewodniczący zarządza zwrot odpowiedzi na pozew złożonej z uchybieniem terminu. Natomiast w myśl art. 2052 § 1 Kodeksu postępowania cywilnego równocześnie z doręczeniem pism, o których mowa w art. 2051 § 1, poucza się strony o: 1) możliwości rozwiązania sporu w drodze ugody zawartej przed sądem lub mediatorem; 2) obowiązku udziału w posiedzeniu przygotowawczym i przedstawienia wszystkich twierdzeń i dowodów na tym posiedzeniu; 3) skutkach niedopełnienia obowiązków, o których mowa w pkt 2, w szczególności możliwości wydania przez sąd wyroku zaocznego na posiedzeniu niejawnym i warunkach jego wykonalności, obciążenia kosztami postępowania, a także możliwości umorzenia postępowania oraz pominięcia spóźnionych twierdzeń i dowodów; 4) możliwości ustanowienia pełnomocnika procesowego oraz o tym, że zastępstwo adwokata, radcy prawnego lub rzecznika patentowego nie jest obowiązkowe; 5) obowiązku złożenia pisma przygotowawczego na zarządzenie przewodniczącego, wymogach co do jego treści i skutkach ich niedochowania; 6) zwrocie pisma przygotowawczego złożonego bez zarządzenia przewodniczącego. Pozwanego poucza się także o czynnościach procesowych, które może lub powinien podjąć, jeśli nie uznaje żądania pozwu w całości lub części, w szczególności obowiązku złożenia odpowiedzi na pozew, w tym obowiązujących w tym zakresie wymaganiach co do terminu i formy (§ 2). Pouczenia, o których mowa w § 1 i 2, doręcza się bezpośrednio stronie, z wyjątkiem strony, o której mowa w art. 11355 § 1. Nie doręcza się ich Prokuratorii Generalnej Rzeczypospolitej Polskiej ani pełnomocnikowi, który jest adwokatem, radcą prawnym lub rzecznikiem patentowym (§ 3). Zgodnie zaś z art. 339 § 1 Kodeksu postępowania cywilnego gdy pozwany w wyznaczonym terminie nie złożył odpowiedzi na pozew, sąd może wydać wyrok zaoczny na posiedzeniu niejawnym. W takim przypadku sąd przyjmuje za prawdziwe twierdzenia powoda o faktach zawarte w pozwie lub pismach procesowych doręczonych pozwanemu przed posiedzeniem, chyba że budzą one uzasadnione wątpliwości albo zostały przytoczone w celu obejścia prawa.
W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie z powyższych regulacji wynika, że zarządzenie sędziego o doręczeniu pozwanemu odpisu pozwu (wraz ze stosownymi pouczeniami), wywołuje określone skutki procesowe w postępowaniu sądowym. Mianowicie, złożenie przez pozwanego odpowiedzi na pozew po upływie zakreślonego w zarządzeniu przewodniczącego terminu, skutkuje jej zwrotem. W przypadku zwrotu odpowiedzi na pozew sąd może wydać wyrok zaoczny, na posiedzeniu niejawnym, przyjmując domniemanie prawdziwości twierdzeń powoda. W sytuacji, gdy twierdzenia powoda nie budzą uzasadnionych wątpliwości, domniemanie to zastępuje postępowanie dowodowe w procesie sądowym.
Sąd I instancji podkreślił jednocześnie, że do dnia wejścia w życie ustawy z dnia 4 lipca 2019 r. o zmianie ustawy Kodeks postępowania cywilnego oraz niektórych innych ustaw, co miało miejsce w dniu 7 listopada 2019 r., wniesienie odpowiedzi na pozew było fakultatywne, a nie obligatoryjne. Pozwany mógł ją wnieść z własnej inicjatywy lub na zarządzenie przewodniczącego składu, przy czym przewodniczący nie był zobligowany do wydania zarządzenia (art. 207 § 1 i 2 w brzmieniu przed nowelizacją). Aktualnie wniesienie odpowiedzi na pozew jest obowiązkiem procesowym pozwanego, zaś termin na złożenie odpowiedzi na pozew rozpoczyna bieg od dnia doręczenia zarządzenia pozwanemu (art. 164 Kodeksu postępowania cywilnego).
Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie podzielił stanowisko strony skarżącej, że zarządzenie sędziego o doręczeniu odpisu pozwu stronie pozwanej jest czynnością wykonywaną w określonym postępowaniu sądowym, w ramach sprawowania wymiaru sprawiedliwości. Doręczenie odpisu pozwu w związku z wykonaniem zarządzenia sędziego, wywołuje określone skutki procesowe dla stron procesu sądowego. Wraz z doręczeniem pozwu następuje zawiśnięcie sporu między stronami wraz ze wszystkimi skutkami jakie przepisy Kodeksu postępowania cywilnego wiążą z tym stanem. Strona pozwana dowiaduje się o roszczeniu strony powodowej i terminie do przedstawienia twierdzeń, faktów i dowodów na poparcie swojego stanowiska w sprawie oraz o skutkach zaniechania podjęcia czynności w sprawie. Uznając skuteczność doręczenia pozwu sędzia podejmuje decyzję w sferze orzeczniczej, która implikuje dalsze decyzje w procesie sądowym, mogące mieć wpływ na sposób rozstrzygnięcia sprawy.
Sąd I instancji podkreślił, że czynności polegające na skierowaniu korespondencji do ekspedycji przez urzędnika sądowego oraz na przesłaniu tejże korespondencji do adresata nie mogą być rozważane w oderwaniu od procesu sądowego, w ramach którego są wykonywane, a tym samym w oderwaniu od sprawowania wymiaru sprawiedliwości przez niezawisłego sędziego. Czynności te nie mają samodzielnego charakteru, lecz są ściśle związane z orzeczniczą funkcją sądu. Stanowią one wykonanie zarządzenia sędziego wydanego na podstawie obowiązujących przepisów prawa, w ramach konkretnego postępowania sądowego, a ich skutek w postaci doręczenia (bądź niedoręczenia) korespondencji ma odzwierciedlenie w dalszym przebiegu procesu i może mieć wpływ na rozstrzygnięcie sprawy. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie czynności tych nie można wyodrębnić z procesu sądowego jako stricte technicznych czy administracyjnych, niezwiązanych z procesem sądowym, a tym samym niezwiązanych ze sprawowaniem wymiaru sprawiedliwości.
Sąd I instancji wskazał, że z akt niniejszego postępowania wynika, że w sprawie o sygn. akt [...], zarejestrowanej w Sądzie Okręgowym w K., odpis pozwu wraz z załącznikami (tj. odpisem postanowienia z dnia 11 maja 2022 r., wezwaniem do złożenia odpowiedzi na pozew, pouczeniem) został doręczony pozwanemu na zarządzenie sędziego sprawozdawcy za pośrednictwem Konsulatu Generalnego RP w M., w drodze pomocy prawnej. Podstawę doręczenia korespondencji stanowiły przepisy art. 1130 i nast. Kodeksu postępowania cywilnego, art. 26 ustawy Prawo Konsularne oraz § 37 i nast. rozporządzenia Ministra Sprawiedliwości z dnia 28 stycznia 2002 r. w sprawie szczegółowych czynności sądów w sprawach z zakresu międzynarodowego postępowania cywilnego oraz karnego w stosunkach międzynarodowych. Zgodnie z § 14 ust. 1 i 2 ww. rozporządzenia pisma podlegające wysłaniu do organów zagranicznych, przedstawicielstw dyplomatycznych, urzędów konsularnych państw obcych w Rzeczypospolitej Polskiej lub konsulów Rzeczypospolitej Polskiej podpisuje sędzia (...). Pod podpisem wpisuje się pismem maszynowym imię i nazwisko oraz stanowisko służbowe osoby podpisującej lub umieszcza się stempel zawierający te dane oraz pismo opatruje się pieczęcią urzędową.
Pismo sędziego sprawozdawcy skierowane do Konsulatu Generalnego RP w M. w sprawie doręczenia odpisu pozwu wraz z załącznikami zostało sporządzone w dniu 11 maja 2022 r. i przesłane przez Sąd Okręgowy w K. za pismem z dnia 30 maja 2022 r. Sędzia sprawozdawca, po przedstawieniu przez Wiceprezesa Sądu Okręgowego w K. korespondencji zagranicznej nadesłanej przez Konsulat RP, związanej z wykonaniem wniosku o udzielnie pomocy prawnej, sprawę "skierował na kalendarz na 3 miesiące" celem złożenia odpowiedzi na pozew przez pozwanego. Zarządzenie w tej sprawie sędzia sprawozdawca wydał w dniu 10 sierpnia 2022 r.
Z ww. pism, załączonych do skargi, Wojewódzki Sąd Administracyjny w Warszawie przeprowadził na rozprawie dowód uzupełniający z dokumentów korzystając z uprawienia przewidzianego w art. 106 § 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi i stwierdził, że powyższe dokumenty potwierdzają okoliczność, że sędzia sprawozdawca uznał skuteczność doręczenia pozwu, co - jak wskazywano powyżej - ma istotne znaczenie w kontekście dalszego przebiegu postępowania oraz wydania końcowego orzeczenia w sprawie o sygn. akt [...]. Nadto potwierdza stanowisko, że doręczenie korespondencji sądowej nie jest czynnością techniczną (wykonywaną przez urzędnika sądowego i operatora pocztowego), niezależną od działalności orzeczniczej niezawisłego sądu. Przeciwnie, doręczenie korespondencji na zarządzenie sędziego jest ściśle związane z funkcją orzeczniczą sądu, bowiem wywiera daleko idące skutki w sferze praw i obowiązków stron postępowania i determinuje dalsze decyzje sądu w postępowaniu.
Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie stwierdził zatem, że przetwarzanie danych osobowych w związku z doręczeniem korespondencji sądowej mieści się w pojęciu "sprawowania wymiaru sprawiedliwości", o którym mowa w art. 55 ust. 3 rozporządzenia 2016/679.
W świetle powyższego Sąd I instancji za nieuzasadnione uznał stanowisko Prezesa UODO, że w niniejszej sprawie jest on właściwym organem nadzorczym do weryfikacji prawidłowości przestrzegania przepisów rozporządzenia 2016/679 przez Sąd Okręgowy w K. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie nie ma racji organ twierdząc, że dostarczenie korespondencji sądowej nie mieści się w ramach sprawowania wymiaru sprawiedliwości przez sąd, a jest jedynie techniczną, administracyjną czynnością sądu. Zdaniem Sądu I instancji nie sposób bowiem przyjąć, że doręczenie korespondencji w postępowaniu sądowym, wykonane na zarządzenie sędziego i wywierające określone skutki procesowe dla stron tego postępowania, mieści się w którejś z ww. kategorii działalności administracyjnej sądu i z tego powodu nie należy do sfery sprawowania wymiaru sprawiedliwości przez sąd.
W związku z tym Wojewódzki Sąd Administracyjny stwierdził, że Prezes UODO nie ma uprawnień do wkraczania w zakres i treść decyzji sądu. Nie może ingerować w zasady obiegu dokumentacji procesowej, skoro obieg ten odbywa się w związku działalnością orzeczniczą sądu, a tym samym w związku ze sprawowaniem przez ten sąd wymiaru sprawiedliwości.
Podsumowując tę część rozważań Sąd I instancji wskazał, że Prezes UODO dopuścił się naruszenia art. 55 ust. 3 rozporządzenia 2016/679. Błędnie bowiem uznał, że jest właściwy w sprawie nadzorowania przetwarzania danych osobowych przez Sąd Okręgowy w K. dokonywanego w związku z doręczeniem korespondencji sądowej (odpisu pozwu wraz z załącznikami) w ramach sprawowania przez ten Sąd wymiaru sprawiedliwości. W konsekwencji w ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie organ błędnie uznał, że jest uprawniony do dokonania oceny realizacji obowiązków administratora danych wynikających z art. 33 i art. 34 ww. rozporządzenia 2016/679 oraz zastosowania sankcji z art. 58 ust. 2 lit. e, lit. i w związku z art. 83 rozporządzenia 2016/679. Sąd I instancji wskazał, że uznając swą właściwość w sprawie Prezes UODO pominął art. 175dd § 1 pkt 2 i art. 175db ustawy Prawo o ustroju sądów powszechnych, z których to przepisów wynika, że nadzór nad przetwarzaniem danych osobowych przez Sąd Okręgowy w K., w związku ze zgłoszeniem naruszenia danych złożonym przez Ministra Spraw Zagranicznych, wykonuje Prezes Sądu Apelacyjnego w K..
Odnosząc się w tym miejscu do argumentacji Prezesa UODO, że do kompetencji organów nadzorczych określonych w art. 175dd § 1 ustawy Prawo o ustroju sądów powszechnych, nie należy przyjmowanie zgłoszeń naruszeń ochrony danych osobowych, ani ich merytoryczna ocena, Sąd I instancji wskazał, że okoliczność ta nie czyni organu właściwym do nadzorowania przetwarzania danych przez Sąd w niniejszej sprawie. Swych kompetencji Prezes UODO nie może domniemywać, zaś ewentualne uwagi Prezesa UODO co do zakresu czynności nadzorczych wykonywanych przez organy wymienione w ww. przepisie mogą być traktowane wyłącznie jako postulaty de lege ferenda.
W konkluzji Sąd I instancji stwierdził, że brak właściwości rzeczowej Prezesa UODO w niniejszej sprawie oznacza, że postępowanie administracyjne jest bezprzedmiotowe w rozumieniu art. 105 § 1 Kodeksu postępowania administracyjnego, co skutkowało uchyleniem zaskarżonej decyzji i umorzeniem postępowania administracyjnego.
Niezależnie od poczynionych wyżej rozważań Wojewódzki Sąd Administracyjny w Warszawie zauważył ponadto, że zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Sąd I instancji wyjaśnił, że dla istnienia naruszenia danych osobowych muszą być spełnione kumulatywnie następujące przesłanki. Po pierwsze, musi zaistnieć naruszenie bezpieczeństwa. Po drugie, skutkiem tego naruszenia musi być przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do przetwarzanych danych osobowych. Przez naruszenie bezpieczeństwa należy rozumieć każde zdarzenie, w którym organizacyjne lub techniczne środki zawodzą ochrony danych. Nie ma przy tym znaczenia, czy do naruszenia bezpieczeństwa dojdzie w wyniku umyślnego, czy nieumyślnego działania. Istotne jest jedynie obiektywnie wystąpienie naruszenia.
W niniejszej sprawie, w oparciu o zgłoszenie przez Ministra Spraw Zagranicznych zdarzenia polegającego na dostarczeniu przez operatora pocztowego do adresata uszkodzonej i niekompletnej przesyłki, Prezes UODO ustalił, że doszło do naruszenia ochrony danych osobowych w związku z naruszeniem poufności danych (korespondencja została dostarczona w uszkodzonej kopercie), jak również ich dostępności (adresat zgłosił Ministrowi Spraw Zagranicznych niekompletność przesyłki). Uszkodzenie koperty wraz z dokumentami, jak stwierdził organ, potwierdzają zdjęcia przesyłki otrzymane od Ministra Spraw Zagranicznych.
Wojewódzki Sąd Administracyjny w Warszawie uznał, że ustalenia organu nie znajdują potwierdzenia w zgromadzonym materialne dowodowym, co stanowi naruszenie art. 7, art. 77 § 1 i art. 80 Kodeksu postępowania administracyjnego. Jak zauważył bowiem Sąd I instancji z akt sprawy wynika, że zgłoszenie dokonane przez Ministra Spraw Zagranicznych dotyczyło "podejrzenia naruszenia zasad bezpieczeństwa danych osobowych". Jako datę zaistnienia naruszenia wskazano "pomiędzy 14 lipca 2022 r. - data nadania przesyłki a 23 lipca 2022 r. - data odebrania uszkodzonej przesyłki". Wskazano, że "adresat przesyłki poinformował w dniu 25 lipca 2022 r. Konsulat Generalny RP w M., że koperta, w której dostarczono do niego dokumenty sądowe została uszkodzona i mogło dojść do naruszenia korespondencji. Z informacji nadesłanych przez adresata przesyłki (dokumentacja zdjęciowa) wynika, że przesyłka była zapakowana dodatkowo w folię ochronną, zabezpieczającą uszkodzoną kopertę. W wyniku konsultacji z obywatelem, na którego była adresowana przesyłka, uzyskano informację, że przesyłka rzekomo nie zawiera wszystkich dokumentów podlegających doręczeniu". W zgłoszeniu podano również, że "Konsulat zgłosi w dniu 27 lipca br. oficjalną reklamację do operatora pocztowego oraz poinformuje Sąd Okręgowy w K. o uszkodzonej korespondencji" (k. 2 - 5 akt admin.). Za pismem Ministra Spraw Zagranicznych z dnia 9 marca 2023 r. do organu przesłana została dokumentacja zdjęciowa przedstawiająca uszkodzoną przesyłkę (k. 60 - 63 akt admin.).
Uwzględniając powyższe Sąd I instancji stwierdził, że organ nie poczynił wystarczających ustaleń, co do tego, czy do uszkodzenia przesyłki doszło na etapie doręczenia przesyłki pozwanemu, czy też po jej doręczeniu. Tymczasem z pisma Konsulatu RP z dnia 25 lipca 2022 r. wynika, że korespondencja w dniu 11 lipca 2022 r. została przekazana adresatowi pocztą poleconą za potwierdzeniem odbioru. Nie stwierdzono naruszenia korespondencji na tym etapie jej doręczenia, co potwierdza informacja dostępna w elektronicznym systemie operatora pocztowego R., zgodnie z którą przesyłkę doręczono adresatowi w dniu 23 lipca 2022 r. Adresat zaś dopiero dwa dni później, tj. w dniu 25 lipca 2022 r., zgłosił do Konsulatu RP, iż przesyłkę doręczono uszkodzoną i niekompletną. Wojewódzki Sąd Administracyjny zauważył, że organ nie ustalił dlaczego adresat zgłosił naruszenie po kilku dniach, czy adresat zgłaszał to zdarzenie również operatorowi pocztowemu R., czy operator zagraniczny prowadził jakiekolwiek wyjaśnienia w tym względzie, a jeśli tak jakie były jego ustalenia. Organ nie ustalił również jaki był wynik reklamacji zgłoszonej do operatora pocztowego przez Urząd Konsularny. Organ nie wziął również pod uwagę decyzji sędziego w sprawie o sygn. akt [...] wynikającej z treści "Raportu z naruszenia bezpieczeństwa danych (...)", zgodnie z którą korespondencja zawarta w ww. przesyłce została skutecznie doręczona do adresata. Pomimo tego organ - opierając się wyłącznie na informacji powziętej od samego adresata oraz wykonanych przez niego zdjęciach przesyłki - przyjął, że w okolicznościach sprawy doszło do naruszenia ochrony danych osobowych.
W związku z powyższym Wojewódzki Sąd Administracyjny w Warszawie uznał stanowisko organu w tym zakresie za dowolne, zgromadzony w sprawie materiał dowodowy za niepełny i niewyjaśniający istotnych okoliczności faktycznych. Brak było zatem w ocenie Sądu I instancji podstaw do tego, aby stwierdzić, że naruszenie bezpieczeństwa danych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 w ogóle miało miejsce w niniejszej sprawie.
Zważywszy jednak na to, że Sąd I instancji stwierdził brak właściwości rzeczowej Prezesa UODO do nadzorowania przetwarzania danych osobowych przez Sąd Okręgowy w K. dokonywanego w związku z doręczeniem korespondencji sądowej (odpisu pozwu wraz z załącznikami), tj. w ramach sprawowania przez ten Sąd wymiaru sprawiedliwości (art. 55 ust. 3 rozporządzenia 2016/679), to ta okoliczność, jako najdalej idąca, przesądza o rozstrzygnięciu sprawy. Naruszenie przez organ ww. przepisów postępowania administracyjnego (art. 7, art. 77 § 1 i art. 80 Kodeksu postępowania administracyjnego) ma natomiast, jak wskazał Sąd I instancji, charakter wtórny wobec naruszenia przepisów o właściwości.
Skargę kasacyjną od powyższego wyroku wywiódł organ i zaskarżając ten wyrok w całości wniósł, na podstawie art. 188 ustawy Prawo o postępowaniu przed sądami administracyjnymi, o rozpoznanie skargi poprzez jej oddalenie, ewentualnie na podstawie art. 185 § 1 ustawy Prawo o postępowaniu przed sądami administracyjnymi, o uchylenie w całości zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu, a także o rozpoznanie skargi kasacyjnej na rozprawie oraz o zasądzenie zwrotu kosztów postępowania na rzecz organu według norm przepisanych. Jednocześnie organ skarżący kasacyjnie wniósł – przed rozpoznaniem wywiedzionych zarzutów – o rozważenie konieczności zwrócenia się przez Sąd, z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie określonym na podstawie art. 267 Traktatu o funkcjonowaniu Unii Europejskiej, celem zapewnienia jednolitej interpretacji prawa unijnego, obejmującym odpowiedzi na niżej wskazane pytania, związane z wykładnią art. 55 ust. 1 i ust. 3 rozporządzenia 2016/679:
1) czy art. 55 ust. 3 rozporządzenia 2016/679 powinien być interpretowany w ten sposób, że dostarczanie korespondencji sądowej za pośrednictwem operatora pocztowego stanowi czynność administracyjną (techniczną), a nie element wymiaru sprawiedliwości?
2) czy art. 55 ust. 3 rozporządzenia 2016/679 powinien być interpretowany w ten sposób, że naruszenie ochrony danych osobowych dokonane przez operatora pocztowego podczas dostarczania korespondencji sądowej, zawierającej dane osobowe, powinno być oceniane przez organ wskazany w art. 55 ust. 1 rozporządzenia 2016/679 jako naruszenie powstałe w związku z procesem przetwarzania danych osobowych związanych z wykonaniem czynności technicznej/ administracyjnej czy też jako naruszenie ochrony danych osobowych powstałe w ramach sprawowania wymiaru sprawiedliwości?
3) Jeżeli odpowiedź na dwa pierwsze pytania wskazywałaby, że czynności, o których mowa w pierwszych dwóch pytaniach, wchodzą w zakres sprawowania wymiaru sprawiedliwości, to czy w sytuacji braku odpowiednich przepisów krajowych wskazujących na właściwość innych organów, mając na uwadze art. 16 ust. 2 ak. 1 zd. ostatnie Traktatu o funkcjonowaniu Unii Europejskiej, w związku z art. 8 ust. 3 Karty Praw Podstawowych, właściwym organem nadzorczym dla oceny naruszenia powinien być organ wskazany w art. 55 ust. 1 rozporządzenia 2016/679?
Organ skarżący kasacyjnie zarzucił zaskarżonemu rozstrzygnięciu:
1. naruszenie przepisów prawa procesowego, które mogły mieć istotny wpływ na wynik sprawy, tj. art. 145 § 1 lit. c i art. 145 § 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 7, art. 77 § 1 oraz art. 80 Kodeksu postępowania administracyjnego, poprzez błędne przyjęcie, że Prezes UODO nie poczynił dostatecznych ustaleń stanu faktycznego (co do momentu uszkodzenia korespondencji, czasu zgłoszenia naruszenia przez adresata korespondencji), podczas gdy to rolą Administratora (Sądu Okręgowego w K.) było ustalenie tych informacji i przedłożenie ich do merytorycznej oceny organowi, a co finalnie skutkowało uchyleniem decyzji organu i umorzeniem postępowania administracyjnego przed Prezesem UODO;
2. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.:
a) art. 55 ust. 1 i ust. 3 rozporządzenia 2016/679 w związku z art. 175dd ustawy Prawo o ustroju sądów powszechnych, poprzez ich niewłaściwą wykładnię, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na błędnym przyjęciu, że w stanie faktycznym przedmiotowej sprawy organowi nie przysługiwały kompetencje określone w art. 55 ust. 1 rozporządzenia 2026/679, gdyż nie jest organem właściwym z uwagi na okoliczność, że sprawa dotyczy przetwarzania danych osobowych przez sąd w ramach sprawowania wymiaru sprawiedliwości w rozumieniu art. 55 ust. 3 rozporządzenia 2016/679, co skutkowało pozbawieniem obywatela prawa do ochrony jego danych osobowych;
b) art. 58 ust. 2 lit. e i lit. i w związku z art. 83 rozporządzenia 2016/679, poprzez ich niewłaściwą wykładnię, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na błędnym przyjęciu, że przepisy te nie mają zastosowania w przedmiotowej sprawie, z uwagi na sprawowanie wymiaru sprawiedliwości przez Sąd Okręgowy w tym zakresie, przez co Prezes UODO w związku z tym nie mógł zastosować środków naprawczych określonych w tych przepisach, co powoduje pozbawienie osób objętych naruszeniem ochrony danych osobowych ochrony prawnej niezależnego organu w rozumieniu art. 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej, art. 8 ust. 3 Karty Praw Podstawowych oraz art. 55 rozporządzenia 2016/679 w związku z art. 7, art. 8 Karty Praw Podstawowych oraz art. 47 i art. 51 ust. 1 Konstytucji RP;
c) art. 33 ust. 1 oraz art. 34 ust. 1 rozporządzenia 2026/679 w związku z art. 51 Konstytucji RP, poprzez ich niewłaściwą wykładnię, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na błędnym przyjęciu, że nie mają one zastosowania w przedmiotowej sprawie wobec tego, że zdaniem WSA, w związku ze sprawowaniem przez Sąd Okręgowy wymiaru sprawiedliwości w tym zakresie nie miał on obowiązku zgłoszenia naruszenia ochrony danych osobowych, ani zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych, co skutkowało naruszeniem praw i wolności obywateli, faktycznie pozbawiając ich tej ochrony, w przypadku gdy do takiego naruszenia ewidentnie doszło w wyniku postępowania Administratora (Sądu Okręgowego w K.);
d) art. 4 pkt 12 oraz art. 5 ust. 1 lit. f rozporządzenia 2026/679, poprzez ich niewłaściwą wykładnię, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na błędnym przyjęciu, że w tym stanie faktycznym sprawy nie doszło do zaistnienia naruszenia ochrony danych osobowych, bowiem doręczenie przez operatora pocztowego uszkodzonej i niekompletnej korespondencji jej adresatowi nie stanowi naruszenia ochrony danych osobowych, bo adresat finalnie ją otrzymał.
W uzasadnieniu skargi kasacyjnej organ skarżący kasacyjnie podniósł, że Prezes UODO nie podziela stanowiska Wojewódzkiego Sądu Administracyjnego w Warszawie, który wskazał w zaskarżonym wyroku, że organ nie jest właściwy do zajęcia stanowiska w przedmiotowej sprawie. W ocenie Prezesa UODO jest on organem nadzorczym właściwym do dokonania oceny zdarzania jako naruszenia ochrony danych osobowych oraz oceny, czy zachowanie Sądu Okręgowego w K. stanowiło naruszenie przepisów rozporządzenia 2016/679. Organ skarżący kasacyjnie podniósł bowiem, że wbrew twierdzeniu Sądu I instancji czynności związane z dostarczeniem/doręczeniem korespondencji przez operatora pocztowego nie stanowią sprawowania przez sąd wymiaru sprawiedliwości ani ochrony prawnej, lecz techniczną, administracyjną czynność sądu, nawet wówczas gdy zostały wykonane w wyniku wydanego zarządzenia sędziego. W ocenie organu skarżącego kasacyjnie sam fakt powiązania doręczania korespondencji sądowej z działalnością sądu nie przesądza automatycznie o tym, że mieści się ona w pojęciu sprawowania wymiaru sprawiedliwości, czy niezawisłości sędziego.
Organ skarżący kasacyjnie nie zgodził się z dokonaną przez Sąd I instancji wykładnią pojęć "wymiar sprawiedliwości" i "niezawisłość sędziów" i podniósł, że prowadzi ona do dalszego naruszania praw lub wolności osób objętych naruszeniem i pozbawieniem ich właściwej ochrony prawnej na gruncie przepisów o ochronie danych osobowych. Organ skarżący kasacyjnie podkreślił, że dokonując oceny przedmiotowej sprawy nie ingerował w wymiar sprawiedliwości, nie wpływał w żadnym stopniu na niezawisłość sędziowską, a dokonał wyłącznie oceny działań Administratora w danych okolicznościach w zakresie określonego naruszenia ochrony danych osobowych.
W ocenie organu skarżącego kasacyjnie Wojewódzki Sąd Administracyjny w Warszawie ograniczył się do zbadania legalności przetwarzania danych osobowych przez Sąd Okręgowy w K., a nie prawidłowości jego postępowania jako administratora danych w momencie powstania naruszenia ochrony danych osobowych osób fizycznych w następstwie nieprawidłowości przy doręczaniu korespondencji zawierającej dane osobowe przez operatora pocztowego. Tym samym Sąd I instancji zdaniem organu skarżącego kasacyjnie nie orzekł co do istoty sprawy będącej przedmiotem rozstrzygnięcia Organu. Organ skarżący kasacyjnie podkreślił przy tym, że także stoi na stanowisku, iż niezawisłość sędziowska jest gwarantem zapewnienia właściwej ochrony prawa do sądu każdej osoby, jednak Sąd I instancji nieprawidłowo ocenił problem w tej sprawie, skupiając się wyłącznie na procesowym aspekcie zagadnienia, pomijając całkowicie prawo do ochrony danych osobowych osób objętych naruszeniem ochrony danych osobowych, które wystąpiło w następstwie działania operatora pocztowego, a które jest również dobrem chronionym przez Konstytucję RP, przepisy prawa unijnego oraz prawa krajowego.
Organ skarżący kasacyjnie podniósł, że pojęcie wymiaru sprawiedliwości, o którym jest mowa w art. 55 ust. 3 rozporządzenia 2016/679, należy rozpatrywać wąsko. Jak wskazał organ skarżący kasacyjnie niewątpliwie wymiar sprawiedliwości sprawują sądy, a niezawisłość sędziowska pełni w tym zakresie istotną rolę, jednakże nie wszystkie procesy odbywające się w sądzie lub w związku z działalnością sądów można uznać za realizację wymiaru sprawiedliwości, choćby się z tym pojęciem wiązały.
Organ skarżący kasacyjnie zwrócił uwagę na to, że ustawodawca nie zdecydował się na uchwalenie legalnej definicji pojęcia "wymiar sprawiedliwości", pomimo, iż takie pojęcie pojawia się w polskich przepisach prawa (art. 175 Konstytucji RP), a zatem jej określenie wydaje się kwestią podstawową. Posiłkując się poglądami wyrażanymi w doktrynie i uznając je za słuszne organ skarżący kasacyjnie wskazał więc, że według F. Siemieńskiego pojęcie "wymiaru sprawiedliwości" definiuje się jako "rozstrzyganie sporów prawnych przez sądy i (...) nie może być inaczej, skoro wymiar sprawiedliwości należy do sądów, które działają na zasadzie wyłączności". B. Banaszak natomiast definiuje wymiar sprawiedliwości jako "szczególny rodzaj postępowania, którego rezultatem jest wiążące rozstrzygnięcie sporu prawnego, dokonane przez niezależny organ państwowy na podstawie obowiązującego prawa, po dokładnym rozważeniu wszystkich okoliczności sprawy". Trybunał Konstytucyjny w wyroku z dnia 1 grudnia 2008 r., sygn. akt P 54/07 wskazał zaś, że "zgodnie z dominującym poglądem doktryny prawa wymiar sprawiedliwości stanowi działalność państwa polegającą na sądzeniu, czyli wiążącym rozstrzyganiu sporów o prawo, w których przynajmniej jedną ze stron jest jednostka lub inny podmiot podobny".
Tym samym organ skarżący kasacyjnie podkreślił, że pojęcie wymiaru sprawiedliwości, wbrew twierdzeniu Wojewódzkiego Sądu Administracyjnego w Warszawie, sprowadza się do procesu decyzyjnego mającego na celu rozstrzygnięcie określonego sporu, na podstawie określonego stanu faktycznego (co do faktów) i prawnego (na podstawie prawa i w jego zakresie). Natomiast czynności związane z wysyłką korespondencji mają czysto administracyjny charakter i nie wiążą się ze sprawowaniem wymiaru sprawiedliwości nawet w sposób graniczny. Wskazywanie w zaskarżonym wyroku przez Wojewódzki Sąd Administracyjny w Warszawie na niezawisłość sędziowską w odniesieniu do naruszenia ochrony danych osobowych, polegającego na dostarczeniu przez operatora pocztowego uszkodzonej i niekompletnej korespondencji zawierającej dane osobowe stronie postępowania jest w ocenie organu skarżącego kasacyjnie nieuzasadnione.
Niewątpliwie korespondencja pomiędzy stronami postępowania sądowego (rozsyłana również przez sąd za pośrednictwem operatora pocztowego) prowadzi do wymiany poglądów, dowodów na poparcie określonych tez. Ponadto, Sąd doręcza stronom postępowania sądowego także zmaterializowane w formie pisemnej decyzje uprzednio podjęte, np. na posiedzeniu jawnym lub niejawnym (postanowienia, wyroki oraz zarządzenia). Sąd (ale nie sędzia) dokonuje tego za pośrednictwem operatora pocztowego, a więc zleca wykonanie tego zadania (i realizację tej czynności o charakterze technicznym) innemu podmiotowi. Podmiot ten powinien zadbać o prawidłowe doręczenie korespondencji w nienaruszonym stanie (a więc w stanie nieuszkodzonym, z kompletną zawartością) do odpowiedniego odbiorcy. Pomimo tego, że ta czynność techniczna jest realizowana przez operatora pocztowego, to jednak odpowiedzialność za ten proces ponosi także nadawca (administrator danych), w tym przypadku Sąd Okręgowy w K., bowiem odpowiada za dane zawarte w takiej korespondencji jako organ sądowy (np. od prawidłowego doręczenia wywodzone są określone skutki, jak termin doręczenia, zachowanie ustawowego terminu na zaskarżenie danej czynności - jeśli jest dopuszczalna), jak i jako administrator (odpowiedzialność za bezpieczeństwo danych, odpowiedzialność za realizację obowiązków związanych z ewentualnym naruszeniem bezpieczeństwa danych zawartych w takiej korespondencji - art. 33 oraz art. 34 rozporządzenia 2016/679).
Organ skarżący kasacyjnie zwrócił uwagę ponadto, że sądowe organy nadzorcze, o których mowa w art. 175dd § 1 ustawy Prawo o ustroju sądów powszechnych, swoje kompetencje mają uregulowane w art. 175dd § 2 i § 3 ww. ustawy. Organy te nie dysponują jednak uprawnieniami w zakresie badania bezpieczeństwa danych oraz przyjmowania i analizowania zgłoszeń naruszeń ochrony danych osobowych. Tym samym jeżeli doszłoby do uznania, iż Prezes UODO, przy tak ukształtowanych aktualnie przepisach, nie jest właściwy do podejmowania działań w ww. zakresie, doszłoby do sytuacji, w której osoby objęte naruszeniami ochrony danych osobowych zostałyby pozbawione ochrony prawnej, np. w sytuacji braku lub nieprawidłowego zawiadomienia ich o naruszeniu ochrony danych osobowych. Konsekwencją utrzymania zaskarżonego wyroku może być więc zdaniem organu skarżącego kasacyjnie sytuacja nieakceptowalna w europejskim państwie, które zobowiązało się do przestrzegania prawa, w tym umów międzynarodowych, w zakresie zapewnienia właściwego poziomu ochrony danych osobowych, co mogłoby stanowić naruszenie nie tylko wymogów wynikających z prawa UE, o których była już mowa, ale także naruszenie art. 9 Konstytucji RP.
W odpowiedzi na skargę kasacyjną strona skarżąca wniosła o oddalenie skargi kasacyjnej podnosząc, że nie ma ona usprawiedliwionych podstaw, a zaskarżone orzeczenie w pełni odpowiada prawu oraz o zasądzenie od organu skarżącego kasacyjnie na rzecz strony skarżącej kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych. Strona skarżąca wskazując, że w jej ocenie zaskarżony wyrok odpowiada prawu podkreśliła, że kluczowym zagadnieniem w okolicznościach niniejszej sprawy jest ustalenie charakteru działań (czynności) wpisujących się w "ramy sprawowania przez sądy wymiaru sprawiedliwości", a tym samym określenie granic kompetencji Prezesa UODO. W związku z tym wskazała, że zgodnie z art. 55 ust. 3 rozporządzenia 2016/679 organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Brzmienie tego przepisu koresponduje z brzmieniem art. 175da, art. 175db, art. 175dd § 1 i 2 ustawy Prawo o ustroju sądów powszechnych, w których to ustawodawca konsekwentnie posługując się sformułowaniem "w ramach sprawowania wymiaru sprawiedliwości", wyłącza z tego obszaru kompetencje Prezesa UODO. Strona skarżąca zaznaczyła, że takie działanie ustawodawcy jest celowe, gdyż jego zamiarem było wyłączenie Prezesa UODO nie tylko z nadzorowania operacji przetwarzania dokonywanych przez sądy w granicach samego orzekania, ale szerzej w ramach sprawowania wymiaru sprawiedliwości rozumianej jako cykl działań (czynności) sędziego w ramach prowadzonego postępowania sądowego zmierzających do wydania orzeczenia końcowego w sprawie. W ocenie strony skarżącej naturalnym punktem wyjścia do analizy tego zagadnienia są przepisy ustawy Prawo o ustroju sądów powszechnych w tym m.in. art. 2 ust. 1 tej ustawy, zgodnie z którym zadania z zakresu wymiaru sprawiedliwości wykonują sędziowie. W tym kontekście strona skarżąca zauważyła, że sąd zajmuje pozycję organu władzy sądowniczej i jak wszystkie organy władzy, działa na podstawie i w granicach prawa (art. 7 Konstytucji RP). Czynności sądów, jak i urzędników sądowych są sposobami wykonywania praw i obowiązków służbowych sędziów, gdyż są oni organami władzy państwowej i pełnią funkcje urzędowe, a ustawą, która określa sposób działania sądu, ale i stron jest Kodeks postępowania cywilnego. Z tej przyczyny wszystkie czynności sądu mają charakter władczy, zaś inne podmioty i uczestnicy postępowania są podporządkowani władzy sądu. Kierownictwo procesem należy do sądu. Cechą charakterystyczną czynności kierowniczych sądu jest ich obligatoryjność, co oznacza, że ich podejmowanie jest obowiązkiem sądu. Niezawisły sąd nie tylko może, lecz powinien przy zaistnieniu okoliczności wskazanych w ustawie ich dokonać, gdyż prawa sądu są zarazem jego obowiązkami. Czynności sądu posiadają moc wiążącą i mogą być zmienione jedynie w przypadkach i na zasadach określonych przez procedurę cywilną. W związku z powyższym w ocenie strony skarżącej poszczególne czynności sędziowskiego kierownictwa wchodzą w skład działalności jurysdykcyjnej sądu stanowiącej sprawowanie wymiaru sprawiedliwości.
Strona skarżąca dodała, że w doktrynie przyjmuje się, że w zależności od etapu postępowania można wyróżnić czynności procesowe sądu przygotowawcze, orzecznicze i kontrolne (vide: wedle podziału zaproponowanego przez W. Siedleckiego (w:) Rola sądu..., s. 858 i n.). Wszystkie czynności kierownictwa postępowaniem, zarówno te o charakterze przygotowawczym, kontrolnym, jak i orzecznicze należy zaś zdaniem strony skarżącej zaliczyć do sprawowania wymiaru sprawiedliwości, a nie administracji sądowej. Czynności te są ściśle i nierozerwalnie powiązane z działalnością orzeczniczą. Sędziowskie kierownictwo postępowaniem jest formą władzy sędziowskiej. Prawo o ustroju sądów powszechnych wyróżnia zresztą obok czynności z zakresu wymiaru sprawiedliwości także sferę administracyjną, jednak czynności kierownictwa postępowaniem w żadnym razie nie można w ocenie strony skarżącej zaliczyć do tzw. sfery administracyjnej wymiaru sprawiedliwości. Wszelkie czynności związane z kontrolą formalną, merytoryczną i przygotowaniem spraw należą do zakresu czynności kierownictwa sędziowskiego. Czynności sędziowskiego kierownictwa postępowaniem odnoszą się do całego postępowania. Kierownictwo sędziowskie jest dziedziną sądowego wymiaru sprawiedliwości, a nie działalnością z zakresu administracji sądowej. Każda decyzja sądu to czynność sądowa, związana ze stosowaniem prawa procesowego. Sąd prowadząc postępowanie nie wykonuje zatem żadnych czynności administracyjnych.
Strona skarżąca podkreśliła, że nie tylko sama czynność wyrokowania, ale i wszystkie prowadzące do niej czynności są objęte niezawisłością sędziowską. Wszystkie te czynności sądu, nawet jeśli nie stanowią wyrokowania, są czynnościami służącymi tej funkcji. Pełnią one rolę przygotowawczą bądź wykonawczą do wyrokowania. Z tych względów odnoszą się do sfery niezawisłości sędziowskiej związanej ze sprawowaniem wymiaru sprawiedliwości. Strona skarżąca podkreśliła więc, że nie tylko samo wydanie orzeczenia, ale wszystkie pośrednio służące temu celowi czynności sądu są objęte ochroną i należą do sfery niezawisłości sędziowskiej. Bez znaczenia ma w tym miejscu, że zarządzenia sędziego wykonuje sekretarz sądowy, gdyż sama czynność przygotowania pisma do wysyłki czy wreszcie jej przesłanie i skuteczne doręczenie jest bezpośrednim przejawem niezawisłej decyzji sędziego wydanej w ramach sprawowania wymiaru sprawiedliwości na gruncie przepisów postępowania cywilnego (karnego) w konkretnej sprawie sądowej. Strona skarżąca przyznała, że nie da się przeprowadzić wyraźnej linii pomiędzy czynnościami administracyjnymi, procesowymi i materialnymi, jednak nie sposób uznać, wbrew stanowisku organu skarżącego kasacyjnie, że doręczenie korespondencji sądowej na zarządzenie niezawisłego sądu (według jego dyspozycji), w ramach konkretnego procesu sądowego, generujące konkretne skutki procesowe dla stron postępowania nie wpisuje się w ramy sprawowania wymiaru sprawiedliwości. Tym samym strona skarżąca podniosła, że nie sposób zgodzić się z Prezesem UODO, iż dokonując oceny przedmiotowej sprawy nie ingerował w wyłączoną z jego dyspozycji sferę sprawowania wymiaru sprawiedliwości, a dokonał wyłącznie oceny administratora w zakresie określonego naruszenia ochrony danych osobowych.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z treścią art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2024 r., poz. 935) - zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.
Skargę kasacyjną można oprzeć na następujących podstawach:
1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,
2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).
Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy.
W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania, przy czym istota zarzutów sformułowanych przez organ skarżący kasacyjnie w skardze kasacyjnej sprowadza się do próby podważenia prawidłowości dokonania przez Sąd I instancji wykładni art. 55 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., str. 35), dalej jako: "RODO", i zawartego w nim sformułowania "w ramach sprawowania wymiaru sprawiedliwości", a także art. 175dd ustawy z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych (Dz. U. z 2024 r., poz. 334), dalej jako: p.u.s.p. i w konsekwencji określenia granic kompetencji Prezesa Urzędu Ochrony Danych Osobowych w zakresie nadzoru nad przetwarzaniem danych osobowych, których administratorami są sądy. Z tego powodu w pierwszej kolejności należało ocenić skuteczność zarzutów naruszenia prawa materialnego. Rozpoznając skargę kasacyjną w tak zakreślonych granicach, stwierdzić jednak należy, że skarga ta nie zasługuje na uwzględnienie.
Ocenę zarzutów sformułowanych przez organ skarżący kasacyjnie w ramach pierwszej podstawy kasacyjnej należy rozpocząć od przypomnienia, że naruszenie prawa materialnego może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię wykazać należy, że sąd mylnie zrozumiał stosowany przepis prawa, natomiast uzasadniając zarzut niewłaściwego zastosowania przepisu prawa materialnego wykazać należy, że sąd stosując przepis popełnił błąd subsumcji, czyli że niewłaściwie uznał, iż stan faktyczny przyjęty w sprawie odpowiada lub nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykazać musi, jak w jego ocenie powinna być rozumiana norma zawarta w stosowanym przepisie prawa, czyli jaka powinna być jego prawidłowa wykładnia. Jednocześnie należy podkreślić, że ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (por. wyrok NSA z dnia 13 sierpnia 2013 r., II GSK 717/12, LEX nr 1408530; wyrok NSA z dnia 4 lipca 2013 r., I GSK 934/12, LEX nr 1372091).
W ramach pierwszego zarzutu naruszenia prawa materialnego organ skarżący kasacyjnie wskazał na dokonanie przez Wojewódzki Sąd Administracyjny w Warszawie błędnej wykładni art. 55 ust. 1 i ust. 3 RODO w związku z art. 175dd p.u.s.p., a w konsekwencji niewłaściwe zastosowanie ww. przepisów przez Sąd I instancji, polegającej na błędnym przyjęciu, że w stanie faktycznym przedmiotowej sprawy organowi nie przysługiwały kompetencje określone w art. 55 ust. 1 RODO, gdyż nie jest organem właściwym z uwagi na okoliczność, że sprawa dotyczy przetwarzania danych osobowych przez sąd w ramach sprawowania wymiaru sprawiedliwości w rozumieniu art. 55 ust. 3 RODO, co skutkowało pozbawieniem obywatela prawa do ochrony jego danych osobowych. Zarzut ten nie mógł odnieść skutku.
Odnosząc się do konstrukcji i treści omawianego zarzutu podkreślenia wymaga, że podnosząc zarzut błędnej wykładni określonych przepisów prawa strona skarżąca kasacyjnie powinna wskazać, na czym polega błędne rozumienie tych przepisów i jaka, jej zdaniem, powinna być ich prawidłowa wykładnia. Tymczasem w niniejszej sprawie organ skarżący kasacyjnie w treści omawianego zarzutu nie tylko nie wykazał na czym polega w jego ocenie błędne rozumienie art. 55 ust. 1 i 3 RODO w związku z art. 175dd p.u.s.p., ani też jaka powinna być ich prawidłowa wykładnia, lecz w ogóle nie odnosił się do kwestii rozumienia tych przepisów, w tym w zakresie dotyczącym zawartego w nich sformułowania "w ramach sprawowania wymiaru sprawiedliwości", przyjętego przez Sąd I instancji.
Omawiany zarzut został błędnie skonstruowany także jako zarzut niewłaściwego zastosowania ww. przepisów, gdyż skoro – jak wyżej wskazano – niewłaściwe zastosowanie prawa materialnego oznacza błąd w zakresie subsumcji stanu faktycznego wobec treści stosowanej normy prawnej, to może być ono konsekwencją wcześniejszych błędnych ustaleń w zakresie stanu faktycznego, jak i błędnej wykładni prawa materialnego, ale może mieć miejsce również wtedy, gdy prawidłowe są ustalenia i oceny w zakresie stanu faktycznego oraz wykładnia prawa materialnego, a wadliwość przejawia się wyłącznie w zestawieniu stanu faktycznego ze stanem prawnym sprawy. W rozpatrywanej skardze kasacyjnej nie zakwestionowano skutecznie ustaleń i ocen w zakresie stanu faktycznego. W treści podniesionych zarzutów nie podważono również prawidłowości wykładni prawa materialnego w zakresie objętym omawianym zarzutem i stosowanego w realiach niniejszej sprawy. Oznacza to, że w realiach rozpatrywanej sprawy istotne jest zweryfikowanie, czy w podniesionym zarzucie niewłaściwego zastosowania prawa materialnego organ skarżący kasacyjnie wykazał, że Sąd I instancji w przyjętym przez ten Sąd stanie faktycznym i prawnym sprawy dokonał ich wadliwego zestawienia. W ocenie Naczelnego Sądu Administracyjnego treść omawianego zarzutu w części dotyczącej niewłaściwego zastosowania prawa materialnego nie daje jednak podstaw do przyjęcia wypełnienia tego obowiązku przez organ skarżący kasacyjnie.
Niezależnie od powyższego, wskazać należy, że chociaż z treści omawianego zarzutu nie wynika na czym polega w ocenie organu skarżącego kasacyjnie błędne rozumienie art. 55 ust. 1 i ust. 3 RODO w związku z art. 175dd p.u.s.p. i jaka, jego zdaniem, powinna być ich prawidłowa wykładnia, w szczególności w zakresie rozumienia sformułowania "w ramach sprawowania wymiaru sprawiedliwości", to treść uzasadnienia skargi kasacyjnej umożliwia rekonstrukcję omawianego zarzutu w tym zakresie. W uzasadnieniu skargi kasacyjnej organ skarżący kasacyjnie wskazał bowiem, że jego zdaniem pojęcie wymiaru sprawiedliwości sprowadza się wyłącznie do procesu decyzyjnego mającego na celu rozstrzygnięcie określonego sporu, na podstawie określonego stanu faktycznego (co do faktów) i prawnego (na podstawie prawa i w jego zakresie) i którego to procesu decyzyjnego nie mogą w ocenie organu skarżącego kasacyjnie stanowić czynności związane z wysyłką korespondencji, które jego zdaniem mają czysto administracyjny charakter, nie wiążą się ze sprawowaniem wymiaru sprawiedliwości nawet w sposób graniczny, a w konsekwencji podlegają nadzorowi Prezesa Urzędu Ochrony Danych Osobowych nad przetwarzaniem danych osobowych w tym zakresie.
Naczelny Sąd Administracyjny uznał ww. stanowisko organu skarżącego kasacyjnie za niezasadne.
Istota niniejszej sprawy, jak słusznie wskazują strony postępowania, sprowadza się do wykładni zawartego w art. 55 ust. 3 RODO pojęcia "wymiar sprawiedliwości" i tym samym ustalenia charakteru i zakresu czynności wpisujących się w "ramy sprawowania przez sądy wymiaru sprawiedliwości", a w konsekwencji określenia granic kompetencji Prezesa Urzędu Ochrony Danych Osobowych w zakresie nadzoru nad przetwarzaniem danych osobowych, których administratorami są sądy. Wbrew twierdzeniom organu skarżącego kasacyjnie, Wojewódzki Sąd Administracyjny w Warszawie prawidłowo stwierdził brak właściwości Prezesa Urzędu Ochrony Danych Osobowych jako organu nadzorczego w zakresie przetwarzania danych osobowych przez Sąd Okręgowy w K. dokonywanego w związku z doręczeniem korespondencji sądowej (odpisu pozwu wraz z załącznikami). Naczelny Sąd Administracyjny uznał, że trafna jest dokonana przez Sąd I instancji kwalifikacja tej czynności jako wpisującej się w "ramy sprawowania przez sąd wymiaru sprawiedliwości". Trafna jest również argumentacja przytoczona przez Sąd I instancji na uzasadnienie tej kwalifikacji.
Zgodnie z art. 55 ust. 3 RODO organy nadzorcze nie są właściwe do nadzorowania operacji przetwarzania dokonywanych przez sądy w ramach sprawowania przez nie wymiaru sprawiedliwości. Z kolei w myśl art. 175db p.u.s.p. administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy, zaś z art. 175dd § 1 p.u.s.p. wynika, że nadzór nad przetwarzaniem danych osobowych, których administratorami są sądy, zgodnie z art. 175da i art. 175db, wykonują w zakresie działalności sądu: rejonowego - prezes sądu okręgowego; okręgowego - prezes sądu apelacyjnego; apelacyjnego - Krajowa Rada Sądownictwa.
Z art. 175db § 2 wynika, że w ramach nadzoru, o którym mowa w § 1, właściwe organy: 1) rozpatrują skargi osób, których dane osobowe są przetwarzane niezgodnie z prawem; 2) podejmują działania mające na celu upowszechnianie wśród nadzorowanych administratorów i podmiotów przetwarzających wiedzy o obowiązkach wynikających z RODO, 3) współpracują z innymi organami sprawującymi nadzór nad przetwarzaniem danych osobowych w ramach postępowań prowadzonych przez sądy i trybunały oraz z organami nadzorczymi w rozumieniu art. 51 RODO, w tym dzielą się informacjami oraz świadczą wzajemną pomoc, w celu zapewnienia spójnego stosowania RODO oraz ustawy z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz. U. z 2023 r., poz. 1206).
Wreszcie w art. 175dd § 3 p.u.s.p. wskazano, że organy, o których mowa w § 1, są uprawnione do: 1) nakazywania administratorowi lub podmiotowi przetwarzającemu albo ich przedstawicielom dostarczenia wszelkich informacji potrzebnych do realizacji zadań tego organu; 2) zawiadamiania administratora lub podmiotu przetwarzającego o podejrzeniu naruszenia RODO lub ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości; 3) uzyskiwania od administratora i podmiotu przetwarzającego dostępu do danych osobowych i informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań; 4) uzyskiwania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych; 5) wydawania ostrzeżeń administratorowi lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO lub ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości; 6) udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO lub ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości; 7) wzywania administratora lub podmiotu przetwarzającego do dostosowania przetwarzania danych do przepisów RODO lub ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości.
Treść przywołanych powyżej regulacji prowadzi do wniosku, że ustawodawca konsekwentnie wyłącza właściwość Prezesa Urzędu Ochrony Danych Osobowych jako organu nadzorczego w obszarze czynności podejmowanych przez sądy – jako Administratorów – "w ramach sprawowania wymiaru sprawiedliwości". Regulacje te są systemowo i celowościowo skorelowane z treścią art. 55 ust. 3 RODO. Niezależnie zatem od tego, że zgodnie z ugruntowanym stanowiskiem doktryny i orzecznictwa, wykluczone jest jakiekolwiek domniemywanie treści norm kompetencyjnych, a w konsekwencji podstaw i zakresu kompetencji organów państwa, to – jak wynika z powyższych regulacji p.u.s.p. - ustawodawca powiązał kompetencje organów wymienionych w art. 175dd § 1 p.u.s.p. (prezesa sądu okręgowego, prezesa sądu apelacyjnego i Krajowej Rady Sądownictwa) z obowiązkiem gwarantowania przez te organy wymagań RODO. Nie można zatem podzielić stanowiska organu skarżącego kasacyjnie, że jedynie nadzór sprawowany przez ten organ gwarantuje właściwy poziom ochrony danych osobowych i wypełnianie wymogów wynikających z prawa UE i art. 9 Konstytucji RP.
Sporne pozostaje jednak to, jakie czynności Sądu można zakwalifikować jako podejmowane "w ramach sprawowania wymiaru sprawiedliwości" i czy można jako takie rozumieć działania Sądu w zakresie doręczania korespondencji sądowej (w okolicznościach niniejszej sprawy - doręczenia odpisu pozwu wraz z załącznikami).
Słusznie wskazała strona skarżąca w odpowiedzi na skargę kasacyjną, że jako czynności podejmowane przez sądy "w ramach sprawowania wymiaru sprawiedliwości" rozumieć należy cały cykl działań (czynności) sędziego w ramach prowadzonego postępowania sądowego, które zmierzają do wydania orzeczenia końcowego w sprawie, tj. zarówno czynności o charakterze orzeczniczym, jak i te o charakterze przygotowawczym, czy kontrolnym. Nie tylko bowiem samo wydanie orzeczenia, ale wszystkie poprzedzające wydanie orzeczenia czynności, zmierzające do jego wydania i podejmowane w tym celu, winny być objęte ochroną, należeć do sfery niezawisłości sędziowskiej i tym samym winny być kwalifikowane jako podejmowane "w ramach sprawowania wymiaru sprawiedliwości". Wszystkie te czynności sądu, nawet jeśli nie stanowią wyrokowania, są bowiem czynnościami służącymi tej funkcji i pełnią rolę przygotowawczą bądź wykonawczą do wyrokowania.
Jak prawidłowo podkreślono w odpowiedzi na skargę kasacyjną, wśród obowiązków sędziowskich można wyróżnić tzw. funkcje orzecznicze i funkcje administracyjne. Choć w ramach pełnionych funkcji administracyjnych sędzia podlega nadzorowi ze strony Prezesa sądu, Przewodniczącego wydziału oraz Ministra Sprawiedliwości, to tylko w zakresie organizacyjnym, bez możliwości wydawania sędziom poleceń odnośnie do merytorycznego załatwienia sprawy. Każda decyzja sądu, również ta związana z wysyłką korespondencji sądowej, to czynność sądowa, związana ze stosowaniem prawa procesowego, bowiem jurysdykcyjna działalność sądu nie ogranicza się jedynie do czynności orzeczniczych związanych z wydawanym orzeczeniem, ale obejmuje także czynności związane z gromadzeniem materiału procesowego i zewnętrznym prowadzeniem procesu. Obowiązkiem sądu jest należyte przygotowanie postępowania przez zaplanowanie jego przebiegu, aby rozsądzić spór bez nieuzasadnionej zwłoki. To Sąd jest odpowiedzialny za sprawny bieg postępowania, a wszelkie czynności związane z kontrolą formalną, merytoryczną i przygotowaniem spraw należą do zakresu czynności kierownictwa sędziowskiego i tym samym są podejmowane "w ramach sprawowania wymiaru sprawiedliwości".
Biorąc powyższe pod uwagę podkreślenia wymaga, że wbrew twierdzeniom organu skarżącego kasacyjnie doręczenie korespondencji sądowej – w niniejszej sprawie doręczenie pozwu wraz z załącznikami – stanowi realizację czynności podejmowanej "w ramach sprawowania wymiaru sprawiedliwości", w szczególności z uwagi na to, że czynność ta wywołuje określone, wskazywane przez Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku oraz przez stronę skarżącą w odpowiedzi na skargę kasacyjną, skutki procesowe w postępowaniu sądowym.
W konsekwencji uznać należało, że Sąd I instancji dokonał prawidłowej wykładni art. 55 ust. 3 RODO w związku z art. 175dd p.u.s.p i tym samym słusznie stwierdził, że Prezes Urzędu Ochrony Danych Osobowych nie jest właściwy do nadzorowania operacji przetwarzania dokonywanych przez sądy w tym zakresie. Uznanie braku właściwości rzeczowej Prezesa UODO w niniejszej sprawie skutkowało zaś stwierdzeniem bezprzedmiotowości postępowania administracyjnego w rozumieniu art. 105 § 1 stawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572 ze zm.) – dalej zwanej: k.p.a. i tym samym koniecznością wyeliminowania z obrotu prawnego zaskarżonej decyzji i umorzeniem postępowania administracyjnego. To wszystko czyni omawiany zarzut nieskutecznym.
W związku z uznaniem stanowiska Sądu I instancji w zakresie stwierdzenia braku właściwości rzeczowej Prezesa UODO w niniejszej sprawie za prawidłowe, nie mogły odnieść skutku dwa kolejne zarzuty naruszenia prawa materialnego, w ramach których organ skarżący kasacyjnie zarzuca naruszenie: art. 58 ust. 2 lit. e i lit. i w związku z art. 83 RODO, poprzez ich niewłaściwą wykładnię, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na "błędnym przyjęciu, że przepisy te nie mają zastosowania w przedmiotowej sprawie, z uwagi na sprawowanie wymiaru sprawiedliwości przez Sąd Okręgowy w tym zakresie, przez co Prezes UODO w związku z tym nie mógł zastosować środków naprawczych określonych w tych przepisach, co powoduje pozbawienie osób objętych naruszeniem ochrony danych osobowych ochrony prawnej niezależnego organu w rozumieniu art. 16 ust. 2 Traktatu o funkcjonowaniu Unii Europejskiej, art. 8 ust. 3 Karty Praw Podstawowych oraz art. 55 rozporządzenia 2016/679 w związku z art. 7, art. 8 Karty Praw Podstawowych oraz art. 47 i art. 51 ust. 1 Konstytucji RP", jak i naruszenie art. 33 ust. 1 oraz art. 34 ust. 1 RODO w związku z art. 51 Konstytucji RP, poprzez ich niewłaściwą wykładnię, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na "błędnym przyjęciu, że nie mają one zastosowania w przedmiotowej sprawie wobec tego, że zdaniem WSA, w związku ze sprawowaniem przez Sąd Okręgowy wymiaru sprawiedliwości w tym zakresie nie miał on obowiązku zgłoszenia naruszenia ochrony danych osobowych, ani zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych, co skutkowało naruszeniem praw i wolności obywateli, faktycznie pozbawiając ich tej ochrony, w przypadku gdy do takiego naruszenia ewidentnie doszło w wyniku postępowania Administratora (Sądu Okręgowego w K.)".
W ramach ostatniego z zarzutów naruszenia prawa materialnego organ skarżący kasacyjnie wytknął Sądowi I instancji naruszenie art. 4 pkt 12 oraz art. 5 ust. 1 lit. f RODO, niewłaściwie zresztą wskazując numer rozporządzenia jako: "2026/679", zarzucając Wojewódzkiemu Sądowi Administracyjnemu w Warszawie dokonanie niewłaściwej wykładni ww. przepisów, a w konsekwencji ich nieprawidłowe zastosowanie, polegającą na błędnym przyjęciu, że w tym stanie faktycznym sprawy nie doszło do zaistnienia naruszenia ochrony danych osobowych, bowiem doręczenie przez operatora pocztowego uszkodzonej i niekompletnej korespondencji jej adresatowi nie stanowi naruszenia ochrony danych osobowych, bo adresat finalnie ją otrzymał. Abstrahując od tego, że organ skarżący kasacyjnie ponownie formułując zarzut w ramach pierwszej podstawy kasacyjnej, jako zarzut błędnej wykładni i niewłaściwego zastosowania przepisów materialnych, nie tylko nie wskazuje na czym polega w jego ocenie błędne rozumienie art. 4 pkt 12 oraz art. 5 ust. 1 lit. f RODO i jaka, jego zdaniem, powinna być ich prawidłowa wykładnia, jak i nie wykazuje, że Sąd I instancji w przyjętym przez ten Sąd stanie faktycznym i prawnym sprawy dokonał ich wadliwego zestawienia, to ponadto usiłuje kwestionować ustalenia w zakresie stanu faktycznego sprawy na podstawie zarzutu naruszenia prawa materialnego, co jest niedopuszczalne. Niezależnie jednak od powyższego, uznanie braku właściwości rzeczowej Prezesa Urzędu Ochrony Danych Osobowych w niniejszej sprawie skutkuje stwierdzeniem bezprzedmiotowości prowadzonego postępowania w zakresie przetwarzania danych osobowych przez Sąd Okręgowy w K., a tym samym bezcelowe staje się odnoszenie do ustaleń organu – niebędącego właściwym w niniejszej sprawie - w zakresie istnienia naruszenia danych osobowych przez ww. Sąd.
Z powyższych powodów nie mógł również odnieść skutku zarzut naruszenia przepisów postępowania, tj. zarzut naruszenia art. 145 § 1 lit. c i art. 145 § 3 p.p.s.a. w związku z art. 7, art. 77 § 1 oraz art. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572 ze zm.), którego organ skarżący kasacyjnie upatruje w błędnym przyjęciu, że Prezes UODO nie poczynił dostatecznych ustaleń stanu faktycznego (co do momentu uszkodzenia korespondencji, czasu zgłoszenia naruszenia przez adresata korespondencji), podczas gdy to rolą Administratora (Sądu Okręgowego w K.) było ustalenie tych informacji i przedłożenie ich do merytorycznej oceny organowi, a co finalnie skutkowało uchyleniem decyzji organu i umorzeniem postępowania administracyjnego przed Prezesem UODO. Prawidłowo stwierdzona przez Sąd I instancji bezprzedmiotowość niniejszego postępowania, wynikająca z braku właściwości Prezesa Urzędu Ochrony Danych Osobowych w tej sprawie, jak już wskazywano, skutkuje bowiem brakiem możliwości odniesienia się do poczynionych przez organ ustaleń w zakresie przetwarzania danych osobowych przez Sąd Okręgowy w K. w zakresie dotyczącym doręczenia przez niego korespondencji sądowej.
Skoro podniesione w skardze kasacyjnej zarzuty okazały się nieskuteczne, Naczelny Sąd Administracyjny nie miał podstaw do jej uwzględnienia, co skutkowało oddaleniem skargi kasacyjnej w oparciu o art. 184 p.p.s.a.
O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 2 p.p.s.a.
Naczelny Sąd Administracyjny nie znalazł podstaw do uwzględnienia zawartego w skardze kasacyjnej wniosku o wystąpienie do Trybunału Sprawiedliwości Unii Europejskiej z pytaniami prejudycjalnymi, bowiem wykładnia art. 55 ust. 3 RODO – której dotyczył wniosek zawarty w skardze kasacyjnej - nie budzi żadnych obiektywnych i racjonalnych wątpliwości Sądu, a zatem nie mogła być przedmiotem pytania prejudycjalnego do TSUE (por. wyrok Trybunału Sprawiedliwości z dnia 6 października 1982 r., 283/81)