III OSK 455/25

III OSK 455/25 - Wyrok NSA
Data orzeczenia
2026-02-27
orzeczenie prawomocne
Data wpływu
2025-03-11
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Mariusz Kotulski
Przemysław Szustakiewicz /przewodniczący sprawozdawca/
Wojciech Jakimowicz
Symbol z opisem
647  Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Inne
Sygn. powiązane
II SA/Wa 1200/24 - Wyrok WSA w Warszawie z 2024-12-11
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Oddalono skargę kasacyjną
Powołane przepisy
Dz.U. 2024 poz 935
art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t. j.)
Sentencja
Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz (spr.) Sędziowie: Sędzia NSA Wojciech Jakimowicz Sędzia del. WSA Mariusz Kotulski po rozpoznaniu w dniu 27 lutego 2026 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej [...] S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 11 grudnia 2024 r., sygn. akt II SA/Wa 1200/24 w sprawie ze skargi [...] S.A. [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 maja 2024 r., nr DS.523.3245.2020.PR.PB w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 11 grudnia 2024 r., sygn. akt II SA/Wa 1200/24, oddalił skargę [...] S.A. [...] na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 maja 2024 r., nr DS.523.3245.2020.PR.PB. w przedmiocie przetwarzania danych osobowych.
Wyrok został wydany w następującym stanie faktycznym i prawnym spawy:
Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia 20 maja 2024 r., nr DS.523.3245.2020.PR.PB., na podstawie art. 105 § 1 k.p.a. w zw. z art. 7 ust. 1 i ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r., poz. 1781), art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1, art. 18 oraz art. 58 ust. 2 lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 74 z 4.03.2021, s. 35, dalej: "RODO"), w pkt 1: udzielił [...] S.A. [...] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu danych osobowych D.S. podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz [...] S.A., w pkt 2: odmówił uwzględnienia wniosku w zakresie nakazania [...] S.A. [...] usunięcia danych osobowych D.S., w pkt 3: umorzył postępowanie w zakresie wniosku dotyczącego nakazania [...] S.A. [...] ograniczenia przetwarzania danych osobowych D.S.
W uzasadnieniu decyzji organ wskazał, że do UODO wpłynęła skarga D.S. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez [...] S.A. [...], polegające na przetwarzaniu danych pomimo złożonego żądania usunięcia tych danych oraz naruszeniu ochrony danych osobowych poprzez ich ujawnienie w zakresie imienia, nazwiska, adresu, numeru telefonu i numeru PESEL podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz Spółki. W toku postępowania Prezes UODO, ustalił, że w dniu 14 maja 2018 r. Spółka zawarła umowę powierzenia przetwarzania danych z P. sp. z o.o. Na podstawie tej umowy P. sp. z o.o. przetwarza w imieniu Spółki dane osobowe klientów Spółki w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz Spółki. Następnie organ podał, że Spółka w dniu 18 kwietnia 2020 r. zgłosiła Prezesowi UODO naruszenie bezpieczeństwa danych osobowych, wskazując, że w dniu 16 kwietnia 2020 r. Spółka powzięła informację o możliwym naruszeniu bezpieczeństwa danych osobowych. Spółka ustaliła, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, tj. P. sp. z o.o. oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów tej bazy znajdującej się w chmurze nie został zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do tej bazy w okresie od 12 do 16 kwietnia 2020 r. Po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany poprzez wdrożenie zabezpieczeń przez P. sp. z o.o. Spółka ustaliła ponadto, że w przypadku uczestnika doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska, numeru PESEL. Następnie organ podał, że w postępowaniu prowadzonym pod sygnaturą DKN.5130.2215.2020 ustalono, że w wyniku pozostawienia bazy danych klientów Spółki na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło dnia 15 kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od 15 kwietnia 2020 r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. W tym stanie faktycznym Prezes UODO, mając na względzie art. 6 ust. 1 RODO, wskazał, że wnioskodawca był klientem Spółki od 13 września 2017 r. do 30 września 2019 r., wobec czego podstawę prawną uprawniającą Spółkę do przetwarzania jego danych osobowych. Organ wyjaśnił, że co prawda do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu P. sp. z o.o., jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz Spółki. W związku z tym, to Spółka ponosi odpowiedzialność za naruszenie. Prezes UODO biorąc pod uwagę powyższe uznał, że ujawnienie danych osobowych wnioskodawcy podmiotom i osobom do tego nieupoważnionym, odbyło się z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych (art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO). W związku z tym udzielił Spółce upomnienia.
Z powyższą decyzją nie zgodziło się [...] S.A., wnosząc skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie.
W piśmie procesowym z dnia 14 sierpnia 2024 r. Spółka podtrzymała zarzuty skargi oraz zakwestionowała słuszność argumentacji przedstawionej przez organ w odpowiedzi na skargę.
Powołanym na wstępie wyrokiem, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2024 r., poz. 935, dalej "P.p.s.a.") uznał, że skarga nie zasługuje na uwzględnienie.
W uzasadnianiu rozstrzygnięcia Sąd pierwszej instancji wskazał, że w sprawie Spółka skorzystała z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. Trafnie zatem Prezes UODO podniósł, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f), która wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Organ prawidłowo również zakwalifikował ujawnienie danych osobowych uczestnika postępowania podmiotom i osobom nieupoważnionym - podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum - jako udostępnienie danych osobowych. Stosownie do art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. WSA w Warszawie podkreślił, że nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co miało miejsce w niniejszej sprawie.
Sąd pierwszej instancji podkreślił, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi uczestnika postępowania jest ustalenie odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie skarżąca Spółka dokonała bezpośrednio udostępnienia danych uczestnika postępowania, lecz podmiot przetwarzający, nie wyłącza odpowiedzialności Spółki w zakresie oceny zgodności z prawem tego przetwarzania - udostępnienia danych, zwłaszcza w sytuacji, gdy do tego udostępnienia (ujawnienia danych) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze.
Zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie, co zostało w rozporządzeniu nazwane "rozliczalnością".
Powyższe przepisy nakładają zatem na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie.
Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych uczestnika postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. P. sp. z o.o., świadczącego usługi cyfrowego archiwum na rzecz Spółki. Prawidłowo zatem organ stwierdził, że skarżąca Spółka, jako administrator danych osobowych, nie zastosowała właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych uczestnika postępowania i w sytuacji złożenia indywidualnej skargi skutkuje odpowiedzialnością administratora na gruncie RODO. Zasadnie zatem organ udzielił upomnienia Spółce za naruszenie RODO polegające na udostępnieniu (ujawnieniu) bez podstawy prawnej danych osobowych uczestnika postępowania podmiotom nieuprawnionym. Co istotne, w sprawie nie doszło do złamania zabezpieczeń technicznych, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu. Nie można zatem zgodzić się ze stanowiskiem Spółki, że w tym przypadku nie mamy do czynienia z przetwarzaniem (udostępnieniem) danych osobowych uczestnika postępowania. Ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy. Poprzez ujawnienie danych osobowych doszło do ich przetwarzania i to ono było przedmiotem postępowania prowadzonego przez Prezesa UODO. W świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Żadna z powyższych przesłanek nie została w niniejszej sprawie spełniona w odniesieniu do udostępnienia danych osobowych uczestnika postępowania podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Prawidłowo zatem organ uznał, że Spółka dopuściła się naruszenia art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestnika postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum i udzielił Spółce upomnienia. Przy czym organ zastosował jeden z najłagodniejszych środków nie przekraczając zasady proporcjonalności. Zdaniem Sądu, zastosowany środek jest adekwatny do stwierdzonego w decyzji naruszenia RODO.
Od powyższego wyroku skargę kasacyjną wywiodła [...] S.A., zaskarżając wyrok w całości i domagając się uchylenia w całości zaskarżonego wyroku i rozpoznania skargi, ewentualnie uchylenia zaskarżonego wyroku w całości i przekazania sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; rozpoznania skargi kasacyjnej na posiedzeniu niejawnym oraz zasądzenia kosztów postępowania, w tym kosztów zastępstwa procesowego według norm prawem przepisanych. Zaskarżonemu wyrokowi zarzucono naruszenie:
1. art. 145 §1 pkt 1 lit. c) P.p.s.a. w zw. z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do oddalenia skargi dotyczącej wydania przez organ wadliwej i przedwczesnej decyzji, która nie została oparta na prawidłowo ustalonym stanie faktycznym;
2. art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z 32 RODO poprzez ich błędną wykładnię, skutkującą przyjęciem, że strona skarżąca przetwarzała dane osobowe uczestnika poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem strona skarżąca posiadała podstawę prawną do przetwarzania danych osobowych uczestnika i nie dokonywała ujawnienia tych danych osobom nieupoważnionym.
W uzasadnieniu skargi kasacyjnej podniesiono, że organ nie ustalił czy rzeczywiście i w jakim zakresie doszło do naruszenia zasady poufności z art. 5 ust. 1 lit. f RODO. Ponadto organ nie ustalił na czym dokładnie polegało rzekome naruszenie danych osobowych, w tym tego czy jakiekolwiek dane osobowe "wyciekły" z bazy danych, ani jakie to były rzeczywiście dane, co oznacza brak ustaleń co do skutków naruszenia. Dodatkowo podniesiono, że WSA w Warszawie ocenił materiał dowodowy w sposób wadliwy opierając się na stanie faktycznym błędnie ustalonym w decyzji Prezesa UODO w sprawie o sygnaturze DKN.5130.2215.202, która to decyzja została uchylona wyrokiem WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22. Skarżąca kasacyjnie Spółka podniosła, że posiadała podstawę przetwarzania danych osobowych uczestnika postępowania w postaci zawartej z nią umowy (art. 6 ust. 1 lit. b RODO), a następnie, podstawę do dalszego przetwarzania danych osobowych uczestnika postępowania (po rozwiązaniu umowy) stanowił art. 6 ust. 1 lit. c RODO. W niniejszej sprawie celem przetwarzania danych osobowych uczestnika nigdy nie było ujawnienie jej danych. Osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych klientki administratora nie są w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Spółka podkreśliła, że przetwarzała dane osobowe uczestnika wyłącznie na podstawie art. 6 ust. 1 lit. b RODO i nie dokonywała ich ujawnienia innym administratorom.
W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie jako bezzasadnej.
Pismem z dnia 7 maja 2024 r. skarżąca kasacyjnie Spółka wniosła replikę do odpowiedzi na skargę kasacyjną, podtrzymując stanowisko przedstawione w skardze kasacyjnej.
Naczelny Sąd Administracyjny zważył, co następuje:
Zgodnie z art. 182 § 2 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje skargę kasacyjną na posiedzeniu niejawnym, gdy strona, która ją wniosła, zrzekła się rozprawy, a pozostałe strony, w terminie czternastu dni od dnia doręczenia skargi kasacyjnej, nie zażądały przeprowadzenia rozprawy. Ponieważ w rozpoznawanej sprawie skarżąca kasacyjnie zrzekła się rozprawy, a pozostałe strony, w ustawowym terminie czternastu dni, nie zażądały jej przeprowadzenia, skarga kasacyjna została rozpoznana na posiedzeniu niejawnym.
Stosownie natomiast do treści art. 183 § 1 P.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W niniejszej sprawie nie występują przesłanki nieważności postępowania sądowoadministracyjnego enumeratywnie wskazane w art. 183 § 2 P.p.s.a., wobec czego rozpoznanie sprawy nastąpiło w granicach zgłoszonych podstaw i zarzutów skargi kasacyjnej.
W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. W pierwszej kolejności rozpoznaniu podlegały zarzuty naruszenia przepisów postępowania, ponieważ dopiero po przesądzeniu, że stan faktyczny przyjęty przez Sąd pierwszej instancji w zaskarżonym wyroku jest prawidłowy albo nie został skutecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez ten Sąd przepis prawa materialnego.
Odnosząc się zatem do zarzutu skargi kasacyjnej dotyczącego naruszenia przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80 oraz art. 107 § 3 k.p.a. w zw. z art. 7 ust. 1 ustawy o ochronie danych osobowych, uznać należy, że jest on nieskuteczny.
Zgodnie z brzmieniem art. 145 § 1 pkt 1 lit. c P.p.s.a. Sąd uwzględniając skargę na decyzję lub postanowienie uchyla decyzję lub postanowienie w całości albo w części, jeżeli stwierdzi inne naruszenie przepisów postępowania, jeżeli mogło ono mieć istotny wpływ na wynik sprawy. Tymczasem w niniejszej sprawie Sąd pierwszej instancji oddalił skargę na podstawie art. 151 P.p.s.a., a zatem nie stosował art. 145 § 1 pkt 1 lit. c P.p.s.a., co oznacza, że nie mógł go naruszyć.
Zgodnie z ogólnymi zasadami postępowania administracyjnego, organy administracji stoją na straży praworządności i podejmują kroki niezbędne do dokładnego ustalenia stanu faktycznego oraz do załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli (art. 7 k.p.a.). Organy administracji publicznej prowadzą postępowanie w sposób budzący zaufanie jego uczestników do władzy publicznej, kierując się zasadami proporcjonalności, bezstronności i równego traktowania (art. 8 § 1 k.p.a.). Organy administracji publicznej są również zobowiązane w sposób wyczerpujący zebrać i rozpatrzyć cały materiał dowodowy (art. 77 § 1 k.p.a.) i dopiero na podstawie całokształtu materiału dowodowego ocenić, czy dana okoliczność została udowodniona (art. 80 k.p.a.). Stosownie do przytoczonego w podstawie kasacyjnej art. 77 § 1 k.p.a., na organie administracji publicznej spoczywa obowiązek zebrania w sposób wyczerpujący całego materiału dowodowego sprawy niezbędnego do jej wyjaśnienia. Postępowanie wyjaśniające prowadzone przez organ administracji publicznej powinno być zakończone po zbadaniu wszystkich okoliczności faktycznych istotnych dla danej sprawy, których zakres określają przepisy prawa materialnego mające zastosowanie w sprawie.
Dokonując kontroli legalności zaskarżonej decyzji, poprzez analizę dokumentów zawartych w aktach administracyjnych, WSA w Warszawie zasadnie nie dopatrzył się tego rodzaju uchybień, które musiałyby skutkować wyeliminowaniem z obrotu prawnego kwestionowanej decyzji. Sąd pierwszej instancji zasadnie uznał, że Prezes UODO przeprowadził postępowanie zgodnie z zawartym w art. 7 k.p.a. nakazem dokładnego wyjaśnienia stanu faktycznego sprawy oraz określonym w art. 77 § 1 k.p.a. obowiązkiem zebrania i rozpatrzenia w sposób wyczerpujący materiału dowodowego. Z akt administracyjnych bezspornie wynika bowiem, że doszło do naruszenia bezpieczeństwa danych osobowych przetwarzanych przez skarżącą kasacyjnie Spółkę. Naruszenie to polegało na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze co doprowadziło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Incydent ten doprowadził do naruszenia poufności danych osobowych uczestnika postępowania w zakresie imienia, nazwiska, adresu, numeru PESEL, numeru dowodu osobistego, numeru kontaktowego/adresu e-mail (jeśli podano), danych dotyczących umowy (numer umowy) oraz numeru punktu poboru. Organ ustalił tym samym, że doszło do naruszenia bezpieczeństwa danych osobowych, na czym to naruszenie polegało oraz jakie dane osobowe zostały ujawnione. Sąd pierwszej instancji zasadnie zatem uznał, że organ ustalił wszystkie istotne do załatwienia sprawy okoliczności faktyczne i prawne, a zgromadzony w sprawie materiał dowodowy ma walor kompletności, zaś jego ocena nie nosi znamion dowolności. Na gruncie reguł i norm procesowych wyprowadził logicznie uprawnione i merytorycznie trafne wnioski. Trafnie też ocenił, że zaskarżona decyzja zawiera uzasadnienie faktyczne i prawne wyczerpująco wyjaśniając zasadność przesłanek, którymi kierował się organ przy załatwianiu sprawy. W tych okolicznościach należało zgodzić się z Sądem pierwszej instancji, który w całości podzielił ustalenia organu i wyrażoną przez niego ocenę prawną stanu faktycznego. W konsekwencji powyższego, Sąd pierwszej instancji prawidłowo, na podstawie art. 151 P.p.s.a., oddalił skargę.
Odnosząc się do sformułowanego w uzasadnieniu skargi kasacyjnej zarzutu, że WSA w Warszawie ocenił materiał dowodowy w sposób wadliwy, opierając się na stanie faktycznym błędnie ustalonym w decyzji Prezesa UODO w sprawie o sygnaturze DKN.5130.2215.202, która to decyzja została uchylona wyrokiem WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, wskazać informacyjnie należy, że wyrok ten został uchylony wyrokiem Naczelnego Sądu Administracyjnego z dnia 6 lutego 2026 r., sygn. akt III OSK 445/23, a sprawę przekazano do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Naczelny Sąd Administracyjny w powyższym orzeczeniu uznał, że wbrew stanowisku Sądu pierwszej instancji wyrażonym w uchylonym wyroku, w sprawie tej wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania zostały wyjaśnione, a zgromadzony w sprawie obszerny materiał dowodowy został poddany wszechstronnej i odpowiadającej prawu ocenie. Dlatego powoływanie się przez skarżącą kasacyjnie Spółkę na wyrok WSA w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, nie mogło odnieść zamierzonego skutku.
Na akceptację nie zasługuje również zarzut naruszenia prawa materialnego polegający na błędnej wykładni art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO, skutkującej przyjęciem, że skarżąca kasacyjnie Spółka przetwarzała dane osobowe uczestnika poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem skarżąca kasacyjnie Spółka posiadała podstawę prawną do przetwarzania danych osobowych uczestnika.
W związku z atak sformułowanym zarzutem wskazać należy, że naruszenie prawa materialnego może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię, skarżący kasacyjnie powinien wykazać, na czym polega błędne rozumienie tych przepisów i jaka, jej zdaniem, powinna być ich prawidłowa wykładnia. Uzasadniając natomiast zarzut niewłaściwego zastosowania przepisu prawa materialnego skarżący kasacyjnie winien wykazać, że Sąd, stosując przepis, popełnił błąd subsumcji, czyli że niewłaściwie uznał, że stan faktyczny przyjęty w sprawie nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W niniejszej sprawie skarżąca kasacyjnie Spółka nie wykazała na czym polega, w jej ocenie, błędne rozumienie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f i art. 32 RODO przez WSA w Warszawie, jak również nie wykazała jaka powinna być ich prawidłowa wykładnia. Treść sformułowanego w skardze kasacyjnej zarzutu wskazuje natomiast, że skarżąca kasacyjnie Spółka za jego pomocą kwestionuje ustalenia i ocenę w zakresie stanu faktycznego sprawy. Dlatego też należy wyjaśnić, że zarzutem naruszenia prawa materialnego nie można zwalczać ustaleń faktycznych przyjętych w sprawie. Niedopuszczalne jest bowiem zastępowanie zarzutu naruszenia przepisów postępowania zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który strona skarżąca uznaje za prawidłowy (por. wyrok NSA z 13 sierpnia 2013 r. II GSK 717/12, wyrok NSA z 4 lipca 2013 r. I GSK 934/12). Niepodważony stan faktyczny jest w sprawie wiążący i rzutuje na zastosowanie prawa materialnego. Skoro zaś stan faktyczny w niniejszej sprawie nie został skutecznie podważony to należało przyjąć, że okoliczności sprawy kształtują się w ten sposób, jak opisał Sąd pierwszej instancji. W konsekwencji WSA w Warszawie prawidłowo ocenił, że wydane w sprawie decyzje nie naruszają prawa materialnego, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO. Podkreślić przy tym należy, że ani organ, ani Sąd pierwszej instancji nie stwierdził, że skarżąca kasacyjnie Spółka nie miała podstawy prawnej do przetwarzania danych osobowych uczestnika, bowiem taką podstawę prawną Spółka posiadała. Skarżąca kasacyjnie Spółka była zatem uprawniona do przetwarzania danych osobowych uczestnika, jednakże nie była uprawniona, na podstawie art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO, do przetwarzania danych osobowych uczestnika poprzez ujawnienie tych danych osobowych podmiotom i osobom nieuprawnionym. Udostępnienie danych osobowych polegające na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajduje oparcia w żadnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizujących proces przetwarzania danych osobowych. Tym samym doszło do naruszenia przepisów RODO przez operację przetwarzania (udostępnienia) bez podstawy prawnej.
Mając powyższe na uwadze, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna nie ma uzasadnionych podstaw, dlatego w oparciu art. 184 P.p.s.a. oddalił skargę kasacyjną.