III OSK 455/25
Podsumowanie
Przejdź do pełnego tekstuNaczelny Sąd Administracyjny rozpoznał skargę kasacyjną spółki [...] S.A. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, który utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych. Decyzja ta nałożyła na spółkę upomnienie za naruszenie przepisów RODO, konkretnie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu danych osobowych klienta (D.S.) podmiotom nieupoważnionym. Do ujawnienia doszło podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy usług cyfrowego archiwum, z którym spółka zawarła umowę powierzenia. Spółka zgłosiła naruszenie bezpieczeństwa danych, wskazując na niezabezpieczenie hasłem jednego z portów bazy danych, co umożliwiło nieuprawniony dostęp i potencjalne skopiowanie danych. Prezes UODO uznał spółkę za odpowiedzialną, mimo że naruszenie nastąpiło u podmiotu przetwarzającego, podkreślając, że administrator ponosi odpowiedzialność za zgodność przetwarzania z RODO. WSA w Warszawie podzielił to stanowisko, wskazując, że nieuprawnione ujawnienie danych, nawet przez podmiot przetwarzający, stanowi naruszenie zasady poufności i bezpieczeństwa danych. NSA, rozpoznając skargę kasacyjną, oddalił ją. Sąd uznał, że zarzuty naruszenia przepisów postępowania są nieskuteczne, a ustalenia faktyczne poczynione przez WSA są prawidłowe. NSA podkreślił, że spółka, choć posiadała podstawę prawną do przetwarzania danych (np. na podstawie umowy), nie była uprawniona do ich ujawnienia osobom nieupoważnionym, co stanowiło naruszenie art. 6 ust. 1 RODO. Sąd odrzucił argumentację spółki dotyczącą błędnej wykładni przepisów materialnego prawa, wskazując, że zarzut naruszenia prawa materialnego nie może służyć kwestionowaniu ustaleń faktycznych.
Przeanalizuj tę sprawę w pełnym kontekście orzecznictwa.
Analiza orzecznictwa · odpowiedzi na pytania · badanie przepisów · drafting pism.
Wartość praktyczna
Siła precedensu: WysokaPotwierdzenie odpowiedzialności administratora za naruszenia ochrony danych osobowych popełnione przez podmiot przetwarzający oraz interpretacja pojęcia ujawnienia danych w kontekście RODO.
Dotyczy specyficznej sytuacji naruszenia bezpieczeństwa danych u podmiotu przetwarzającego i interpretacji przepisów RODO w tym zakresie.
Zagadnienia prawne (3)
Czy administrator danych osobowych ponosi odpowiedzialność za naruszenie ochrony danych osobowych, jeśli do naruszenia doszło w wyniku działań podmiotu przetwarzającego?Ratio decidendi
Odpowiedź sądu
Tak, administrator ponosi odpowiedzialność za zgodność przetwarzania z RODO, nawet jeśli naruszenie nastąpiło u podmiotu przetwarzającego.
Uzasadnienie
Administrator jest odpowiedzialny za zapewnienie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych. Naruszenie poufności danych przez podmiot przetwarzający, wynikające z braku odpowiednich zabezpieczeń, obciąża administratora.
Czy ujawnienie danych osobowych poprzez umożliwienie nieuprawnionego dostępu do bazy danych stanowi przetwarzanie danych bez podstawy prawnej w rozumieniu RODO?Ratio decidendi
Odpowiedź sądu
Tak, ujawnienie danych osobowych poprzez umożliwienie nieuprawnionego dostępu do nich, bez spełnienia przesłanek z art. 6 ust. 1 RODO, stanowi przetwarzanie bez podstawy prawnej.
Uzasadnienie
Ujawnienie danych osobowych, nawet jeśli nie jest to celowe przesłanie lub rozpowszechnienie, ale polega na umożliwieniu dostępu do nich osobom nieuprawnionym, jest formą przetwarzania. Jeśli nie towarzyszy temu żadna z podstaw legalizujących przetwarzanie danych (art. 6 ust. 1 RODO), jest to przetwarzanie niezgodne z prawem.
Czy zarzut naruszenia prawa materialnego może być wykorzystany do kwestionowania ustaleń faktycznych sądu pierwszej instancji?Ratio decidendi
Odpowiedź sądu
Nie, zarzut naruszenia prawa materialnego nie może służyć do zwalczania ustaleń faktycznych przyjętych w sprawie.
Uzasadnienie
Ocena zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego stanu faktycznego, który nie został skutecznie podważony. Kwestionowanie ustaleń faktycznych powinno być przedmiotem zarzutów naruszenia przepisów postępowania.
Przepisy (16)
Główne
P.p.s.a. art. 184
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
RODO art. 5 § 1 lit. f
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 6 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Pomocnicze
P.p.s.a. art. 145 § 1 pkt 1 lit. c
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
P.p.s.a. art. 151
Ustawa z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi
k.p.a. art. 105 § 1
Kodeks postępowania administracyjnego
k.p.a. art. 7 § 1
Kodeks postępowania administracyjnego
k.p.a. art. 8 § 1 i 2
Kodeks postępowania administracyjnego
k.p.a. art. 77 § 1
Kodeks postępowania administracyjnego
k.p.a. art. 80
Kodeks postępowania administracyjnego
k.p.a. art. 107 § 3
Kodeks postępowania administracyjnego
u.o.d.o. art. 7 § 1
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
RODO art. 28 § 1
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 58 § 2 lit. b
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 32
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
RODO art. 4 § 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Argumenty
Skuteczne argumenty
Odpowiedzialność administratora za naruszenia popełnione przez podmiot przetwarzający. • Ujawnienie danych poprzez umożliwienie nieuprawnionego dostępu jest przetwarzaniem bez podstawy prawnej. • Zarzut naruszenia prawa materialnego nie może służyć kwestionowaniu ustaleń faktycznych.
Odrzucone argumenty
Naruszenie przepisów postępowania przez WSA. • Błędna wykładnia art. 6 ust. 1 lit. f w zw. z art. 5 ust. 1 lit. f w zw. z art. 32 RODO. • Spółka posiadała podstawę prawną do przetwarzania danych i nie dokonywała ich ujawnienia osobom nieupoważnionym.
Godne uwagi sformułowania
nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. • Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona. • Okoliczność, że to nie skarżąca Spółka dokonała bezpośrednio udostępnienia danych uczestnika postępowania, lecz podmiot przetwarzający, nie wyłącza odpowiedzialności Spółki w zakresie oceny zgodności z prawem tego przetwarzania. • Ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. • Zarzut naruszenia prawa materialnego nie może służyć do zwalczania ustaleń faktycznych przyjętych w sprawie.
Skład orzekający
Mariusz Kotulski
sędzia
Przemysław Szustakiewicz
przewodniczący sprawozdawca
Wojciech Jakimowicz
sędzia
Informacje dodatkowe
Wartość precedensowa
Siła: Wysoka
Powoływalne dla: "Potwierdzenie odpowiedzialności administratora za naruszenia ochrony danych osobowych popełnione przez podmiot przetwarzający oraz interpretacja pojęcia ujawnienia danych w kontekście RODO."
Ograniczenia: Dotyczy specyficznej sytuacji naruszenia bezpieczeństwa danych u podmiotu przetwarzającego i interpretacji przepisów RODO w tym zakresie.
Wartość merytoryczna
Ocena: 7/10
Sprawa dotyczy powszechnego problemu ochrony danych osobowych i odpowiedzialności firm za wycieki danych, nawet jeśli nastąpiły one u podwykonawców. Jest to istotne dla wielu przedsiębiorców i osób fizycznych.
“Wyciek danych u podwykonawcy? To Twoja wina! NSA potwierdza odpowiedzialność administratora.”
Twój asystent do analizy prawnej.
Zadaj pytanie prawne, zleć analizę orzecznictwa i przepisów, lub poproś o projekt pisma — AI przeszuka 1,4 mln orzeczeń i aktualne akty prawne.
- Analiza orzecznictwa i przepisów
- Drafting pism i dokumentów
- Odpowiedzi na pytania prawne
- Pogłębiona analiza z doktryny
Pełny tekst orzeczenia
Oryginalna treść postanowienia (niezmieniona). Otwiera się jako osobna strona.