Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Mirosław Wincenciak Sędziowie: sędzia NSA Artur Kuś sędzia del. WSA Tadeusz Kiełkowski (spr.) Protokolant inspektor sądowy Olga Wrońska po rozpoznaniu w dniu 19 listopada 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Banku [...] S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 4143/21 w sprawie ze skargi Banku [...] S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 14 października 2021 r. nr DKN.5131.16.2021 w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną, 2. zasądza od Banku [...] S.A. w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 5400 (pięć tysięcy czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z dnia 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, Wojewódzki Sąd Administracyjny w Warszawie (dalej "WSA w Warszawie", "Sąd I instancji") oddalił skargę Banku [...] S.A. z siedzibą w W. (dalej "Bank") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej "organ", "Prezes UODO") z dnia 14 października 2021 r., nr DKN.5131.16.2021, w przedmiocie przetwarzania danych osobowych.

Powyższy wyrok, od którego została złożona skarga kasacyjna, zapadł w następujących okolicznościach faktycznych i prawnych.

Prezes UODO, decyzją z dnia 14 października 2021 r., na podstawie art. 104 § 1 k.p.a., art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a i h, art. 58 ust. 2 lit. e oraz i, art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej "RODO", po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Bank:

1) stwierdzając naruszenie przez Bank przepisów: a) art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz b) art. 34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą – nałożył na Bank administracyjną karę pieniężną w wysokości 363.832 PLN;

2) nakazał Bankowi zawiadomienie – w terminie 3 dni od dnia doręczenia decyzji – M. G. oraz W. G. (dalej "skarżący") o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych; d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W uzasadnieniu powyższej decyzji organ przytoczył poczynione ustalenia, z których wynika, że dniu 1 kwietnia 2019 r. Oddział Banku nadał do Centrali Banku przesyłkę, w której znajdowały się następujące dokumenty: pełnomocnictwo udzielone skarżącemu przez skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na dokumentach znajdowały się w szczególności następujące dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skarżącej oraz imię, nazwisko i PESEL skarżącego. Przesyłka zawierająca dokumenty powinna dotrzeć do Centrali Banku w dniu 2 kwietnia 2019 r. W dniu 3 kwietnia 2019 r. Bank podjął działania w celu wyjaśnienia z firmą kurierską X. Sp. z o.o. z siedzibą w W. (dalej "X.") opóźnienia w doręczeniu przesyłki. Następnie, w dniu 8 kwietnia 2019 r., Bank złożył oficjalną reklamację w związku z brakiem doręczenia przesyłki. W dniu 16 kwietnia 2019 r. firma kurierska poinformowała Bank o zmianie statusu przesyłki na status zagubionej informując, że pomimo to nadal podejmuje próby wyjaśnienia sprawy. W dniu 10 maja 2019 r. firma kurierska poinformowała Bank, że nie zdołała zlokalizować przesyłki i zakończyła próby jej poszukiwania. Bank, zgodnie z metodyką opartą na europejskiej metodologii ENISA, ocenił to zdarzenie jako mogące powodować średnie ryzyko naruszenia praw i wolności skarżących. Bank nie zgłosił naruszenia do Prezesa UODO ani nie zawiadomił osób o naruszeniu ochrony ich danych osobowych w trybie art. 34 ust. 1 RODO, wskazując im w przesłanej informacji o zagubionych dokumentach ogólne informacje dotyczące charakteru naruszenia oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skarżącym skorzystanie z bezpłatnej usługi Alert BIK.

Wyjaśniając przesłanki rozstrzygnięcia zawartego w decyzji z dnia 14 października 2021 r., Prezes UODO przytoczył art. 4 pkt 12, art. 33 ust. 1 i 3 oraz art. 34 ust. 1 RODO i zwrócił uwagę na znaczenie i funkcje zgłaszania naruszeń ochrony danych osobowych przez administratorów. Organ stwierdził, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie w związku z naruszeniem ochrony danych osobowych, polegającym na zagubieniu dokumentacji zawierającej dane osobowe klientów Banku powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To z kolei skutkuje powstaniem po stronie Banku obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 RODO, oraz zawiadomienia osób o naruszeniu, zgodnie z art. 34 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 RODO. Nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, które z uwagi na zakres danych należy uznać za wysokie. Bank wprawdzie ocenił, że zaistniałe naruszenie nie wiąże się z ryzykiem naruszenia praw lub wolności osób nim dotkniętych, ponieważ dane nie posłużyły np. do wyłudzenia kredytu ani próby takiego wyłudzenia, utrata przesyłki nie spowodowała też innych niedogodności – ale przewidział, że naruszenie to może wiązać się z takim ryzykiem, skoro zaproponował, w ramach środków w celu zaradzenia naruszeniu, dodatkową usługę BIK Alert.

Zdaniem organu, dla powstania obowiązku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dane dotyczą, nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, wystarczająca jest w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji, które w niniejszej sprawie, w ocenie organu nadzorczego, jest wysokie. Prezes UODO, odwołując się do treści art. 34 ust. 1 i art. 33 ust. 1 RODO, stwierdził, że dokonując oceny ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w powołanych przepisach art. 33 ust. 1 i art. 34 ust. 1 RODO. Ze względu na zakres ujawnionych danych osobowych wystąpiła możliwość zmaterializowania się doniosłych negatywnych konsekwencji dla osób, których dane dotyczą, wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy zatem uznać za wysoką. Prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie naruszenia nie jest małe i nie zostało wyeliminowane. Wystąpienie, w związku z przedmiotowym naruszeniem, wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu tych osób. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO przez Bank jest niezrozumiały w związku z tym, że sam administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolności skarżących przyjął średni poziom tego ryzyka. Określone na tym poziomie ryzyko naruszenia praw lub wolności osób fizycznych, nie wyłącza zaś obowiązku, o którym mowa w art. 33 ust. 1 RODO. Bank zatem stosownie do wyniku własnej analizy ryzyka przeprowadzonej w związku z naruszeniem powinien co najmniej dokonać zgłoszenia naruszenia organowi nadzorczemu, czego nie uczynił.

Organ wyjaśnił, że ani na gruncie RODO, ani żadnego innego aktu prawnego, nie funkcjonuje enumeratywne wyliczenie zdarzeń kwalifikowanych jako naruszenie ochrony danych osobowych. Art. 4 pkt 12 RODO stanowi, iż naruszenie ochrony danych osobowych rozumiane jest jako naruszenie bezpieczeństwa, prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zawarte w tym przepisie wyliczenie operacji przetwarzania posiada charakter wyłącznie przykładowy, w istocie bowiem każda operacja przetwarzania może wiązać się z naruszeniem bezpieczeństwa danych. W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Organ nadzorczy będzie jednak mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

Organ zwrócił uwagę na konsekwencje, z jakimi może wiązać się ujawnienie nr PESEL, w tym w szczególności kradzieży tożsamości. Administrator, biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu, powinien wskazać osobom, których dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz nr PESEL, możliwa jest kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobom, których dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien zaś odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.

Prezes UODO wskazał, że przesłana do skarżących przez Bank informacja o zagubionych dokumentach nie zawiera elementów, o których mowa w art. 34 ust. 2 RODO, co oznacza w konsekwencji, że nie może zostać uznana za zawiadomienie o naruszeniu ochrony danych osobowych. Prawidłowe zawiadomienie powinno bowiem jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO. Tymczasem informacja przesłana do skarżących zawierała jedynie bardzo ogólny opis charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem) oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwienie skorzystania skarżącym z bezpłatnej usługi Alert BIK. W przedmiotowym piśmie nie umieszczono natomiast opisu możliwych konsekwencji, z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych, oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od którego można uzyskać więcej informacji; brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Bank nie dokonał zatem zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 RODO ani nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepisów.

Prezes UODO wskazał, że zgodnie z art. 34 ust. 4 RODO, jeżeli administrator nie zawiadomił jeszcze osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e RODO wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych. Ponadto, zgodnie z art. 58 ust. 2 lit. i RODO, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych wart. 58 ust. 2 RODO, administracyjnej kary pieniężnej na mocy art. 83 RODO, zależnie od okoliczności konkretnej sprawy.

Prezes UODO stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Bank administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a RODO. Decydując o nałożeniu na Bank administracyjnej kary pieniężnej, organ wziął pod uwagę przesłanki, o których mowa w art. 83 ust. 2 lit. a-k RODO. Okoliczności, które organ uznał za istotne z punktu widzenia tych przesłanek, zostały w uzasadnieniu decyzji przedstawione. Organ zaznaczył, że ustalając wysokość administracyjnej kary pieniężnej, uwzględnił również określone okoliczności łagodzące. W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Pismem z dnia 17 listopada 2021 r. Bank skierował do WSA w Warszawie skargę na decyzję Prezesa UODO z dnia 14 października 2021 r., wnosząc o jej uchylenie w całości i zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych. Bank zarzucił zaskarżonej decyzji naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.: 1) art. 33 ust. 1 RODO i art. 34 ust. 1 RODO w zw. z art. 4 pkt 7 RODO polegające na ich błędnej wykładni, a w konsekwencji na niewłaściwym zastosowaniu i błędnym przyjęciu, że Bank był zobowiązany do zgłoszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiotów danych o naruszeniu; 2) art. 33 ust. 1 RODO w zw. z art. 4 pkt 12 RODO polegające na ich błędnej wykładni, a w konsekwencji niewłaściwym zastosowaniu i przyjęciu, że Bank miał obowiązek zgłosić do Prezesa UODO zgubienie przesyłki, zawierającej dane osobowe skarżących, przez współpracującą z nim firmę kurierską w sytuacji, gdy zdarzenie to nie stanowiło naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, co doprowadziło do niezasadnego stwierdzenia, że Bank naruszył obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiotów danych o naruszeniu i nałożenia na Bank administracyjnej kary pieniężnej; 3) art. 58 ust. 2 lit. e oraz i RODO oraz art. 33 ust. 1 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank miał obowiązek zgłosić do Prezesa UODO zgubienie przesyłki, zawierającej dane osobowe skarżących przez współpracującą z nim firmę kurierską z uwagi na wysokie ryzyko naruszenia praw i wolności osób fizycznych, w sytuacji, gdy zdarzenie to, nawet w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wiązało się z większym niż małe prawdopodobieństwem wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych na poziomie uzasadniającym takie zgłoszenie do organu, co Bank ocenił w wyniku przeprowadzenia prawidłowej analizy ryzyka, wykonanej zgodnie z metodyką Agencji Unii Europejskiej ds. Cyberbezpieczeństwa ("ENISA"), rekomendowaną przez Europejską Radę Ochrony Danych (EROD), która wykazała, że powagę naruszenia należy ocenić na poziomie średnim, a w konsekwencji nie jest konieczne zgłoszenie naruszenia do Prezesa UODO, a tym bardziej zawiadomienie podmiotów danych, co doprowadziło do niezasadnego stwierdzenia przez organ, że Bank naruszył obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiotów danych o naruszeniu, a następnie do nałożenia na Bank administracyjnej kary pieniężnej; 4) art. 58 ust. 2 lit. e oraz i RODO oraz art. 34 ust. 1 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank miał obowiązek dokonać zawiadomienia wobec skarżących o zgubieniu przesyłki, zawierającej ich dane osobowe, przez współpracującą z nim firmę kurierską, którego nie zrealizował w sytuacji, gdy incydent bezpieczeństwa nie wiązał się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, a więc takie zawiadomienie nie było konieczne, a pomimo to Bank powiadomił osoby, których dane dotyczą o incydencie bezpieczeństwa, a także przekazał im informacje, o których mowa w art. 34 ust. 2 RODO, co doprowadziło do niezasadnego stwierdzenia przez organ, że Bank naruszył te przepisy, a następnie do nałożenia na Bank administracyjnej kary pieniężnej; 5) art. 58 ust. 21 lit. e oraz i RODO oraz art. 33 ust. 1 RODO i art. 34 ust. 1 RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że w przypadku, gdy naruszeniem ochrony danych osobowych objęty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w sytuacji gdy każdorazowe wystąpienie naruszenia ochrony danych osobowych wymaga odrębnej analizy ryzyka w kontekście zmiennych elementów stanu faktycznego, a w konsekwencji objęcie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadziło do niezasadnego stwierdzenia przez organ, że Bank naruszył te przepisy, a następnie do nałożenia na Bank administracyjnej kary pieniężnej; 6) art. 83 ust. 1 w związku z art. 83 ust. 2 lit. a RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że: a) naruszenie ma poważny charakter i znaczną wagę, ze względu na fakt, że osoby, których dotyczyło rzekome naruszenie, mogły ponieść szkodę majątkową lub niemajątkową, o której mowa w art. 83 ust. 2 lit. a RODO, a prawdopodobieństwo ich poniesienia jest wysokie, podczas gdy organ nie stwierdził powstania szkody majątkowej lub niemajątkowej po stronie podmiotów danych, a prawdopodobieństwo jej wystąpienia po upływie ponad 2,5 roku od daty rzekomego naruszenia ochrony danych osobowych jest marginalne, b) naruszenie ma charakter długotrwały z uwagi na fakt, że w okresie ponad 2 lat od daty rzekomego naruszenia do daty wydania decyzji ryzyko naruszenia praw lub wolności mogło się zrealizować, a osoby, których dane dotyczą, nie mogły temu przeciwdziałać z uwagi na niewywiązanie się Banku z właściwego zgłoszenia i zawiadomienia o naruszeniu, podczas gdy naruszenie nie miało długotrwałego charakteru, gdyż Bank niezwłocznie przystąpił do analizy incydentu bezpieczeństwa, a następnie niezwłocznie poinformował podmioty danych o zdarzeniu, pomimo iż w jego ocenie zdarzenie to nie stanowiło naruszenia ochrony danych osobowych, a także nie wiązało się i nadal nie wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą, co doprowadziło do nałożenia na Bank administracyjnej kary pieniężnej w nieadekwatnej wysokości, naruszającej zasadę proporcjonalności; 7) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. b RODO, polegające na ich niewłaściwym zastosowaniu i uznaniu za okoliczność obciążającą, iż rzekome naruszenie przepisów RODO przez Bank miało charakter umyślny, w sytuacji, w której Bank dokonał prawidłowej analizy incydentu bezpieczeństwa zgodnie z metodyką ENISA rekomendowaną przez EROD, a następnie zgodnie z podejściem opartym na ryzyku podjął pełnoprawną decyzję o niezgłaszaniu naruszenia ochrony danych osobowych do organu, jednocześnie podejmując wszelkie działania, mające na celu zapobieżenie ewentualnym negatywnym skutkom incydentu bezpieczeństwa, w tym kontakt z osobami, których dane dotyczą, co doprowadziło do nałożenia na Bank administracyjnej kary pieniężnej w nieadekwatnej wysokości, naruszającej zasadę proporcjonalności; 8) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f RODO, polegające na ich niewłaściwym zastosowaniu i uznaniu za okoliczność obciążającą co do braku współpracy Banku z organem w celu usunięcia naruszenia lub złagodzenia jego ewentualnych negatywnych skutków, w sytuacji, w której Bank każdorazowo udzielał wyczerpujących wyjaśnień na pytania organu i przedstawiał niezbędne dowody, w terminach wskazanych przez organ, pomimo iż działał w przekonaniu, że incydent bezpieczeństwa nie stanowi naruszenia, a w przypadku jego kwalifikacji jako naruszenia, nie wiąże się on z ryzykiem dla podmiotów danych na poziomie wymagającym zgłoszenia do organu lub podmiotów danych, wobec czego organ nie powinien był traktować tej przesłanki jako okoliczności obciążającej, co doprowadziło do nałożenia na Bank administracyjnej kary pieniężnej w nieadekwatnej wysokości, naruszającej zasadę proporcjonalności; 9) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. g RODO, polegające na ich niewłaściwym zastosowaniu i uznaniu za okoliczność obciążającą kategorii danych osobowych objętych rzekomym naruszeniem, w sytuacji gdy naruszenie nie dotyczyło szczególnych kategorii danych ani danych, o których mowa w art. 10 RODO, a zakres danych objętych naruszeniem był wąski i w przypadku jednego z dwóch podmiotów danych, których dotyczyło naruszenie, obejmował jedynie trzy rekordy danych, wobec czego organ nie powinien był traktować tej przesłanki jako okoliczności obciążającej, co doprowadziło do nałożenia na Bank administracyjnej kary pieniężnej w nieadekwatnej wysokości, naruszającej zasadę proporcjonalności; 10) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit d, e i k RODO, polegające na ich niewłaściwym zastosowaniu i przyjęciu, że stopień odpowiedzialności Banku z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, jak również brak wcześniejszego naruszenia ze strony Banku oraz nieosiągnięcie przez Bank bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowych lub uniknięcie przez Bank straty, nie miały żadnego wpływu na wymiar administracyjnej kary pieniężnej nałożonej przez organ na Bank, podczas gdy stanowią one okoliczności łagodzące mające zastosowanie w każdym indywidualnym przypadku naruszenia, w tym odnoszące się do Banku, co doprowadziło do nałożenia na Bank administracyjnej kary pieniężnej w nieadekwatnej wysokości, naruszającej zasadę proporcjonalności; 11) art. 83 ust. 1 RODO, polegające na jego niewłaściwym zastosowaniu i wymierzeniu Bankowi administracyjnej kary pieniężnej za naruszenie przepisów RODO, objętych przepisem art. 83 ust. 4 lit. a RODO, w celu zniechęcenia innych administratorów do naruszania w przyszłości prawa ochrony danych osobowych, co skutkowało wymierzeniem kary z naruszeniem zasady jej zindywidualizowania i w wysokości nieproporcjonalnej do rzekomego naruszenia przepisów RODO, którego w ocenie organu dopuścił się Bank. Organ wniósł o oddalenie skargi. Argumentacja stron została rozwinięta w kolejnych pismach procesowych.

W dniu 1 lipca 2022 r. WSA w Warszawie wydał opisany na wstępie wyrok, którym oddalił skargę. W uzasadnieniu tego wyroku Sąd I instancji podkreślił, że celem RODO (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych, oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości, np. co do wykonania obowiązków przez administratorów – nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać – należy w pierwszej kolejności brać pod uwagę te wartości. Prezes UODO dokonał prawidłowej wykładni art. 33 ust. 1 zdanie pierwsze RODO – wbrew twierdzeniom wnoszącego skargę, to Bank jest administratorem danych osobowych, wobec których nastąpiło naruszenie ochrony danych osobowych polegające na zagubieniu dokumentacji, zawierającej dane osobowe klientów Banku. W zagubionej przesyłce znajdowały się dokumenty bankowe – nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę, i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych odnośnym naruszeniem, a także sposoby ich przetwarzania. W przypadku nieprawidłowości w dostarczaniu przesyłki obowiązek ochrony interesów podmiotu danych z punktu widzenia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, ciąży na nadawcy przesyłki, który znając zawartość utraconej korespondencji, jest w stanie ocenić zagrożenia wynikające dla osoby, której dane dotyczą. Natomiast operator pocztowy oraz firma kurierska obowiązki administratora, w rozumieniu przepisów RODO, może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek. To zatem Bank może ocenić, jakim ryzykiem dla praw lub wolności osoby fizycznej skutkuje utrata przesyłki i w związku z tym ma możliwość wykonania obowiązku w zakresie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu osoby, której dane dotyczą. Firma kurierska takiej wiedzy nie posiada. Tak więc, w przedmiotowej sprawie na Banku spoczywał obowiązek zgłoszenia naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 RODO i zawiadomienia o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 ust. 1 RODO.

W ocenie Sądu I instancji w niniejszej sprawie zaistniały przesłanki, określone w art. 4 pkt 12 RODO, warunkujące uznanie incydentu bezpieczeństwa za naruszenie ochrony danych osobowych. Zgodnie bowiem z definicją naruszenia ochrony danych osobowych, zawartą w tym przepisie, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesłanych, przechowanych lub w inny sposób przetwarzanych. Przy interpretacji pojęcia naruszenia ochrony danych osobowych, określonego powołanym przepisem, nie można pomijać innych przepisów RODO nakładających obowiązki na administratora danych w przypadku wystąpienia takiego naruszenia, tj. art. 33 ust. 1 i art. 34 ust. 1 RODO, które wprost mówią o ryzyku naruszenia praw lub wolności osób fizycznych w związku z naruszeniem ochrony danych osobowych. W wyniku przedmiotowego zdarzenia, tj. zagubienia przesyłki zawierającej dokumenty z danymi osobowymi klientów Banku, doszło do naruszenia bezpieczeństwa, w wyniku którego powstało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych, a więc ryzyko przypadkowego ich ujawnienia. Tym samym zostały spełnione przesłanki dla zaistnienia naruszenia ochrony danych osobowych.

Sąd I instancji podkreślił, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – w treści art. 33 ust. 1 RODO wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. Bank, zgodnie z metodyką opartą na europejskiej metodologii ENISA, ocenił zdarzenie zagubienia przesyłki jako mogące powodować średnie ryzyko naruszenia praw i wolności skarżących, a określone na tym poziomie ryzyko naruszenia praw lub wolności osób fizycznych, nie wyłącza obowiązku, o którym mowa w art. 33 ust. 1 RODO. Bank zatem, stosownie do wyniku własnej analizy ryzyka przeprowadzonej w związku z naruszeniem, powinien dokonać co najmniej zgłoszenia naruszenia organowi nadzorczemu, czego nie uczynił. Rację ma organ, że brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. Zaginięcie przesyłki, zawierającej dokumentację klientów Banku, wbrew twierdzeniom Banku, jest zdarzeniem faktycznym pociągającym za sobą określone skutki. Tym skutkiem jest utrata kontroli nad danymi osobowymi, które się w niej znajdowały, z czym związane jest konkretne ryzyko dla praw lub wolności osób, których dane dotyczą. W związku z zagubieniem danych wystąpiła możliwość ujawnienia ich osobom nieuprawnionym, a to z kolei oznacza naruszenie bezpieczeństwa skutkujące ryzykiem utraty poufności danych osobowych, zaś zakres tych danych wskazuje na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Sąd I instancji podzielił stanowisko Prezesa UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku – numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych. W zawiadomieniu niezbędne jest wskazanie co najmniej tych informacji, które wymienione są w art. 34 ust. 2 RODO, z którego to obowiązku Bank nie wywiązał się. Bank podejmując zatem decyzję o niezawiadomieniu o naruszeniu ochrony danych osobowych organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom. Przesłana przez Bank do osób, których dane dotyczą, informacja o zagubionych dokumentach nie zawiera elementów, o których mowa w art. 34 ust. 2 RODO, co oznacza w konsekwencji, że nie może zostać uznana za zawiadomienie o naruszeniu ochrony danych osobowych. Prawidłowe zawiadomienie, stosownie do powołanego przepisu, powinno bowiem jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO. Natomiast informacja przesłana do klientów Banku zawierała jedynie bardzo ogólny opis charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem jako istotnego elementu opisu charakteru naruszenia) oraz lakoniczny opis środków w celu zminimalizowania jego ewentualnych negatywnych skutków, który nie pozwalał osobom, których dane objęte zostały naruszeniem, na rzetelną ocenę zaistniałej sytuacji w kontekście zagrożeń dla ich danych osobowych. W przedmiotowym piśmie nie umieszczono opisu możliwych konsekwencji, z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od którego można uzyskać więcej informacji. Brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Sąd I instancji uznał za zasadne stanowisko organu, wedle którego opis możliwych konsekwencji powinien odzwierciedlać ryzyko naruszenia praw lub wolności tych osób, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych. Możliwe konsekwencje powinny mieć charakter opisowy skierowany bezpośrednio do osób. Wskazywane przez administratora możliwe konsekwencje powinny współgrać z proponowanymi środkami minimalizującymi ewentualne negatywne konsekwencje naruszenia dla osób, których dane dotyczą. Ponadto, administrator zobowiązany jest wskazać, jakie działania podjął bądź proponuje podjąć w związku z naruszeniem ochrony danych osobowych. Obowiązkiem administratora jest bowiem zaproponowanie osobom, których dane dotyczą, środków w celu zminimalizowania zaistnienia negatywnych skutków takiego zdarzenia. Zalecenia te powinny mieć formę konkretnych i adekwatnych do danej sytuacji wskazówek, które pozwolą osobom podjąć działania w celu ochrony ich interesów. Ogólnikowa i niepełna informacja w tym zakresie pozbawia osoby, których dane osobowe objęte zostały naruszeniem, podstawowych informacji umożliwiających im realną ocenę zagrożeń i podjęcie racjonalnej decyzji, czy i z jakich zaproponowanych przez administratora środków zaradczych skorzystać w celu zminimalizowania negatywnych konsekwencji naruszenia. Prezes UODO prawidłowo ustalił zatem, że Bank nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzoru w wykonaniu obowiązku z art. 33 ust. 1 RODO oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepisów.

Sąd I instancji wskazał, że jeżeli administrator nie wywiąże się z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, których dane dotyczą, albo zarówno organowi nadzorczemu, jak i osobom, których dane dotyczą, pomimo spełnienia wymogów ustanowionych w art. 33 lub 34, organ nadzorczy może skorzystać z możliwości, która obejmowałaby wzięcie pod uwagę wszystkich środków naprawczych znajdujących się w jego dyspozycji, co wiąże się z możliwością zastosowania administracyjnej kary pieniężnej w połączeniu ze środkiem naprawczym przewidzianym w art. 58 ust. 2 RODO, albo bez takiego środka. Jeżeli zdecydowano się zastosować administracyjną karę pieniężną, wartość tej kary może opiewać na kwotę do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przedsiębiorstwa, zgodnie z art. 83 ust. 4 lit. a RODO. Skoro z okoliczności faktycznych sprawy wynika, że Bank naruszył podstawowe obowiązki, przewidziane w art. 33 ust. 1 oraz w art. 34 ust. 1 RODO, to możliwe było zastosowanie art. 83 ust. 2 RODO. W ocenie Sądu I instancji, zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Organ wyczerpująco uzasadnił nałożenie administracyjnej kary finansowej, wskazując, określone w art. 83 ust. 1 i ust. 2, a także w art. 33 ust. 1 i art. 34 ust. 1 RODO, przesłanki, na jakich się oparł z uwzględnieniem charakteru, wagi i czasu trwania naruszenia, oraz okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary. W uzasadnieniu zaskarżonej decyzji Prezes PUODO wskazał, na podstawie art. 83 ust. 2 lit. a-k RODO, jakie okoliczności uznał za te, które wpływają na zaostrzenie kary i te, które przemawiają za złagodzeniem wymiaru kary. Nie można więc organowi orzekającemu w sprawie skutecznie postawić zarzutu dowolności podjętego rozstrzygnięcia. Przesłanki, jakie należy wziąć pod uwagę przy nakładaniu przez organ administracyjnej kary pieniężnej, są przesłankami zasadniczo ocennymi. Tak więc, która z przesłanek miarkowania kary jest przesłanką łagodzącą, a która zaostrzającą jej wymiar, jest uzależniona każdorazowo od oceny okoliczności konkretnej sprawy przez organ nadzorczy.

Pismem z dnia 9 września 2022 r. Bank (dalej także "skarżący kasacyjnie") wniósł skargę kasacyjną od wyroku WSA w Warszawie z dnia 1 lipca 2022 r., zaskarżając go w całości. Skarżący kasacyjnie zarzucił zaskarżonemu wyrokowi:

I. Naruszenie prawa materialnego, tj.:

1) art. 33 ust. 1 i art. 34 ust. 1 RODO w związku z art. 4 pkt 7 RODO polegające na ich błędnej wykładni przez WSA w Warszawie i przyjęciu, że skarżący kasacyjnie był zobowiązany do zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO i zawiadomienia podmiotów danych o naruszeniu z uwagi na fakt, że zagubiona dokumentacja zawierała dane osobowe klientów Banku, podczas gdy w chwili zagubienia przesyłki zawierającej dokumentację to firma kurierska sprawowała nad nią władztwo i pełną kontrolę, wykonując własne, ustawowe obowiązki operatora pocztowego, a w konsekwencji była administratorem w rozumieniu art. 4 pkt 7 RODO;

2) art. 33 ust. 1 RODO w związku z art. 4 pkt 12 RODO polegające na ich błędnej wykładni przez WSA w Warszawie i przyjęciu, że skarżący kasacyjnie miał obowiązek zgłosić do Prezesa UODO zgubienie przesyłki zawierającej dane osobowe skarżących przez współpracującą z nim firmę kurierską w sytuacji, gdy zdarzenie to nie stanowiło naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, co doprowadziło do niezasadnego stwierdzenia, że organ prawidłowo ustalił, iż skarżący kasacyjnie naruszył obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiotów danych o naruszeniu, a także do niezasadnego stwierdzenia, że organ prawidłowo nałożył na skarżącego kasacyjnie administracyjną karę pieniężną;

3) art. 58 ust. 2 lit. "e" i "i" oraz art. 33 ust. 1 RODO, polegające na ich błędnym zastosowaniu przez WSA w Warszawie i przyjęciu, że skarżący kasacyjnie miał obowiązek zgłosić do Prezesa UODO zgubienie przesyłki zawierającej dane osobowe skarżących przez współpracującą z nim firmę kurierską z uwagi na wysokie ryzyko naruszenia praw i wolności osób fizycznych, w sytuacji, gdy zdarzenie to nawet w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wiązało się z większym niż małe prawdopodobieństwem wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych na poziomie uzasadniającym takie zgłoszenie do organu, co skarżący kasacyjnie ocenił w wyniku przeprowadzenia prawidłowej analizy oceny wagi naruszenia, wykonanej zgodnie z metodyką Agencji Unii Europejskiej ds. Cyberbezpieczeństwa, rekomendowaną przez Europejską Radę Ochrony Danych, która wykazała, że powagę naruszenia należy ocenić na poziomie średnim, a w konsekwencji nie jest konieczne zgłoszenie naruszenia do Prezesa UODO, a tym bardziej zawiadomienie podmiotów danych, co doprowadziło do niezasadnego stwierdzenia przez WSA w Warszawie, że organ prawidłowo ustalił, iż Bank naruszył obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiotów danych o naruszeniu, a także do niezasadnego przyjęcia, iż organ prawidłowo nałożył na skarżącego kasacyjnie administracyjną karę pieniężną;

4) art. 58 ust. 2 lit. "e" i "i" RODO w związku z art. 34 ust. 1 RODO, polegające na ich błędnym zastosowaniu przez WSA w Warszawie i przyjęciu, że skarżący kasacyjnie miał obowiązek dokonać zawiadomienia wobec skarżących o zgubieniu przesyłki zawierającej ich dane osobowe przez współpracującą z nim firmę kurierską, którego nie zrealizował w sytuacji, gdy incydent bezpieczeństwa nie wiązał się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych, a więc takie zawiadomienie nie było konieczne, a pomimo to skarżący kasacyjnie powiadomił osoby, których dane dotyczą o incydencie bezpieczeństwa, a także przekazał im informacje, o których mowa w art. 34 ust. 2 RODO, co doprowadziło do błędnego przyjęcia przez Sąd, że organ prawidłowo ustalił, że skarżący kasacyjnie naruszył obowiązek zawiadomienia podmiotów danych, a także stwierdzenia, iż organ prawidłowo nałożył na skarżącego kasacyjnie administracyjną karę pieniężną;

5) art. 33 ust. 1 RODO i art. 34 ust. 1 RODO, polegające na ich błędnej wykładni przez WSA w Warszawie i przyjęciu za organem, że w przypadku, gdy naruszeniem ochrony danych osobowych objęty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w sytuacji gdy każdorazowe wystąpienie naruszenia ochrony danych osobowych wymaga odrębnej analizy ryzyka w kontekście zmiennych elementów stanu faktycznego, a w konsekwencji objęcie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadziło do niezasadnego przyjęcia przez WSA w Warszawie, że organ prawidłowo ustalił, że skarżący kasacyjnie naruszył te przepisy i prawidłowo nałożył na skarżącego kasacyjnie administracyjną karę pieniężną;

6) art. 83 ust. 1 RODO w związku z art. 83 ust. 2 lit. a-k RODO polegające na ich błędnym zastosowaniu przez WSA w Warszawie i przyjęciu, że administracyjna kara pieniężna nałożona przez Prezesa UODO jest skuteczna, proporcjonalna i odstraszająca w indywidualnym przypadku Banku, podczas gdy WSA w Warszawie nie dokonał własnej oceny żadnej z przesłanek wskazanych w art. 83 ust. 2 lit. a-k RODO, co doprowadziło Sąd do błędnego przyjęcia za organem, że administracyjna kara pieniężna nałożona na Bank spełnia funkcje wskazane w art. 83 ust. 1 RODO, w sytuacji, gdy ich prawidłowe zastosowanie doprowadziłaby do stwierdzenia, że nałożona kara jest nieproporcjonalna, a także naruszona została zasada jej zindywidualizowania i odstraszającego charakteru;

II. Naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj.: art. 141 § 4 p.p.s.a. poprzez wadliwe uzasadnienie wydanego wyroku, polegające na całkowitym braku odniesienia się do przesłanek, o których mowa w art. 83 ust. 2 lit. a-k RODO, co miało istotny wpływ na wynik sprawy, ponieważ pozbawiło skarżącego kasacyjnie informacji o przesłankach rozstrzygnięcia i uniemożliwiło kontrolę instancyjną zaskarżonego wyroku.

Skarżący kasacyjnie wniósł o uchylenie zaskarżonego wyroku w całości, rozpoznanie skargi oraz uchylenie decyzji Prezesa UODO z dnia 14 października 2021 r. w całości (art. 188 p.p.s.a.), względnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie (art. 185 § 1 p.p.s.a.) – a także o zasądzenie na rzecz skarżącego kasacyjnie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych oraz zwrotu kwoty 51 zł uiszczonej tytułem opłaty skarbowej od pełnomocnictwa (art. 203 pkt 1 w zw. z art. 205 § 2 p.p.s.a.). W uzasadnieniu skargi kasacyjnej przedstawiono argumentację na poparcie sformułowanych zarzutów i wniosków. Odpowiadając na skargę kasacyjną, Prezes UODO wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje.

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r. poz. 935, dalej p.p.s.a.) Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W niniejszej sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej. Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy. Zgodnie z art. 174 p.p.s.a. skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Rozpoznawszy skargę kasacyjną z uwzględnieniem powyższych uwarunkowań, Naczelny Sąd Administracyjny stwierdził, że nie ma ona usprawiedliwionych podstaw i tym samym podlega oddaleniu.

Skarga kasacyjna została oparta na obu podstawach kasacyjnych, podniesiono w niej bowiem zarzuty naruszenia prawa materialnego, jak i zarzut naruszenia przepisów postępowania. W takiej sytuacji co do zasady w pierwszej kolejności rozpoznaniu podlega zarzut naruszenia przepisów postępowania, niemniej jednak w niniejszej sprawie należy od tej zasady uczynić wyjątek. Wskazywane przez skarżącego kasacyjnie naruszenie przepisów postępowania (art. 141 § 4 p.p.s.a.) tak naprawdę jest bowiem zrelatywizowane do części zaskarżonego wyroku obejmującej ocenę rozstrzygnięcia organu o administracyjnej karze pieniężnej, natomiast zarzuty naruszenia prawa materialnego są dalej idące – w ten sensie, że zmierzają do zakwestionowania oceny Sądu I instancji co do całości rozstrzygnięcia organu, w tym co do zasadności nałożenia wspomnianej kary.

Naruszenie prawa materialnego, o którym mowa w art. 174 pkt 1 p.p.s.a., może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię wykazać należy, że sąd mylnie zrozumiał stosowany przepis prawa, natomiast uzasadniając zarzut niewłaściwego zastosowania przepisu prawa materialnego wykazać należy, że sąd stosując przepis popełnił błąd subsumcji, czyli że niewłaściwie uznał, iż stan faktyczny przyjęty w sprawie nie odpowiada stanowi faktycznemu opisanemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykazać musi, jak w jego ocenie powinna być rozumiana norma zawarta w stosowanym przepisie prawa, czyli jaka powinna być jego prawidłowa wykładnia. Ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (por. wyrok NSA z dnia 13 sierpnia 2013 r., II GSK 717/12; wyrok NSA z dnia 4 lipca 2013 r., I GSK 934/12; wyrok NSA z dnia 15 listopada 2024 r, III OSK 5384/21). Zgodnie z utrwalonymi poglądami prezentowanymi w orzecznictwie Naczelnego Sądu Administracyjnego niedopuszczalne jest zastępowanie zarzutu naruszenia przepisów postępowania zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Jeżeli strona skarżąca kasacyjnie uważa, że ustalenia faktyczne są błędne, to zarzut naruszenia prawa materialnego poprzez błędne zastosowanie (czy niezastosowanie) jest co najmniej przedwczesny, zaś zarzut naruszenia prawa przez błędną jego wykładnię – niezasadny. Zarzut naruszenia prawa materialnego nie może opierać się na wadliwym (kwestionowanym przez stronę) ustaleniu faktu (zob. wyrok NSA z dnia 13 marca 2013 r., II GSK 2391/11; wyrok NSA z dnia 8 listopada 2024 r., III OSK 5182/21).

Ocena zasadności zarzutu naruszenia prawa materialnego przez błędną wykładnię z istoty rzeczy dokonywana jest w płaszczyźnie normatywnej, toteż zasadniczo liczą się tylko argumenty nawiązujące do brzmienia odnośnych przepisów. Ma ona w pewnym sensie charakter abstrakcyjny i jest w dużej mierze autonomiczna wobec okoliczności faktycznych konkretnej sprawy. Te okoliczności faktyczne mogą mieć znaczenie – choć w każdym przypadku to znaczenie jest inne – przy ocenie zasadności zarzutu naruszenia przepisów postępowania oraz przez ocenie zasadności zarzutu naruszenia prawa materialnego przez niewłaściwe zastosowanie. Z kolei gdy idzie o zarzut niewłaściwego zastosowania prawa materialnego, to co do zasady nie może on odnieść skutku, jeżeli nie zakwestionowano równocześnie – za pomocą adekwatnego zarzutu naruszenia przepisów postępowania – ustaleń co do stanu faktycznego. Wynika to stąd, że błędne zastosowanie (niezastosowanie) przepisów materialnoprawnych zasadniczo pozostaje w ścisłym związku z ustaleniami stanu faktycznego sprawy i może być wykazane pod warunkiem wcześniejszego obalenia tych ustaleń czy też dowiedzenia ich wadliwości (por. wyrok NSA z dnia 22 listopada 2024 r., III OSK 1027/23). Zarzut niewłaściwego zastosowania prawa materialnego bez skutecznego obalenia ustaleń faktycznych może okazać się zasadny jedynie wyjątkowo, gdy nieprawidłowość tkwi w samej subsumpcji stanu faktycznego pod hipotezę stosowanej normy (por. wyrok NSA z dnia 12 lipca 2024 r., III OSK 2638/23).

W niniejszej sprawie zreferowane prawidłowości mają istotne znaczenie, bowiem zarzuty skargi kasacyjnej dotyczące prawa materialnego tak naprawdę w dużej mierze dotyczą ustaleń faktycznych, co rzutuje na ich skuteczność. Normy z art. 33 ust. 1 i art. 34 ust. 1 RODO w części dyspozytywnej przewidują, odpowiednio, obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Z kolei stwierdzenie istnienia, na gruncie konkretnej sprawy, stanów faktycznych opisanych w hipotezach powołanych norm wymaga poczynienia ustaleń co do tego, kto jest administratorem danych; czy doszło do naruszenia ochrony danych osobowych; czy zachodzi większe niż małe prawdopodobieństwo, by naruszenie ochrony danych osobowych skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych; czy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ustalenia te – a do nich nawiązuje gros sformułowanych w skardze zarzutów naruszenia prawa materialnego – są w istocie ustaleniami faktycznymi. Podstawą ich oceny w postępowaniu kasacyjnym co do zasady mogłyby zatem być stosowne zarzuty naruszenia przepisów postępowania.

Z zastrzeżeniem powyższego, odnosząc się do zarzutu naruszenia art. 33 ust. 1 i art. 34 ust. 1 RODO w związku z art. 4 pkt 7 RODO, wypada zauważyć, że w myśl tego ostatniego przepisu na użytek RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. W świetle tej definicji dla wskazania, kto jest administratorem, kluczowe jest stwierdzenie, kto decyduje o celu i sposobach przetwarzania danych – kto ustala cele i sposoby przetwarzania danych (zob. P. Fajgielski, Ogólne rozporządzenia o ochronie danych, Ustawa o ochronie danych osobowych – Komentarz, Warszawa 2025, s. 133). "Przy ustalaniu, któremu podmiotowi przypisany jest status administratora, konieczne jest określenie, który podmiot podejmuje pierwotną, inicjalną decyzję o zastosowaniu określonego mechanizmu przetwarzania (...). Fundamentalna jest więc ocena, który podmiot z uczestniczących w przetwarzaniu ma inicjalną moc decyzyjną, a zatem od uznania którego zależy dalsze angażowanie innego podmiotu w przetwarzanie" (K. Witkowska-Nowakowska, w: E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych – Komentarz, Warszawa 2018, s. 217-218). "Pojęcie administratora należy więc wykładać w sposób funkcjonalny, tak by przypisywanie obowiązków i odpowiedzialności następowało tam, gdzie istnieje faktyczny, a nie np. jedynie formalny wpływ na ustalanie celów i sposobów przetwarzania" (K. Witkowska-Nowakowska, tamże, s. 216).

W ocenie Naczelnego Sądu Administracyjnego, Sąd I instancji prawidłowo przyjął, że administratorem danych zawartych w dokumentacji bankowej, znajdującej się w zagubionej przesyłce, pozostaje Bank, gdyż to on określił cele i sposoby ich przetwarzania. Operator pocztowy (firma kurierska), który nie ma wiedzy ani dostępu do zawartości przesyłki, może mieć status administratora wyłącznie w odniesieniu do danych osobowych nadawcy i odbiorcy. Operator pocztowy, w ramach podejmowanych przezeń czynności (abstrahując od sytuacji atypowych), nie określa celów ani sposobów przetwarzania danych zawartych w dokumentacji bankowej. Poczynione w tym kontekście przez Sąd I instancji spostrzeżenie, że to Bank, jako podmiot dysponujący wiedzą o zawartości przesyłki, może dokonać oceny ryzyka naruszenia praw lub wolności osób fizycznych – stanowi tu jedynie dodatkowy, notabene trafny, argument natury funkcjonalnej i nie świadczy o błędnej wykładni art. 4 pkt 7 RODO, a w szczególności nie stanowi wykroczenia "poza legalne wskazówki ustalania roli danego podmiotu jako administratora". Nie można natomiast zgodzić się ze stanowiskiem skarżącego kasacyjnie, jakoby sprawowanie "władztwa" nad przesyłką tudzież wykonywanie typowych obowiązków operatora pocztowego było – niejako w założeniu – tożsame z ustalaniem celów i sposobów przetwarzania danych osobowych, które potencjalnie mogą się w tej przesyłce znajdować. Z kolei twierdzenia skarżącego kasacyjnie wskazujące jego umowę z firmą kurierską oraz prawdopodobną wiedzę tej firmy, że w przesyłce może znajdować się dokumentacja bankowa, wykraczają poza poczynione przez Sąd I instancji ustalenia faktyczne i, przede wszystkim, wymykają się spod oceny w ramach badania zasadności zarzutu błędnej wykładni prawa materialnego. Omawiany zarzut nie mógł zatem odnieść zamierzonego skutku.

Zgodnie z powołanym w drugim zarzucie skargi kasacyjnej art. 4 pkt 12 RODO, na użytek rozporządzenia "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zarzut, o którym mowa, w istocie sprowadza się do twierdzenia, że przedmiotowe zdarzenie – wbrew stanowisku Sądu I instancji – nie stanowiło naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. W uzasadnieniu zarzutu, o którym mowa, skarżący kasacyjnie akcentuje w szczególności to, że z punktu widzenia art. 4 pkt 12 RODO liczy się zaistnienie opisanych w nim skutków (nie wystarcza samo ryzyko ich zaistnienia), i podnosi, że "w dacie wydania decyzji przez organ wystąpienie któregokolwiek z tych skutków nie zostało stwierdzone". W ocenie Naczelnego Sądu Administracyjnego zarzut ten jest niezasadny, bowiem Sąd I instancji w istocie powiązał naruszenie bezpieczeństwa z określonym, odpowiadającym definicji z art. 4 pkt 12 RODO, skutkiem i skutek ten zidentyfikował. Jak wskazał Sąd I instancji: "Zaginięcie przesyłki, zwierającej dokumentację klientów Banku (...), jest zdarzeniem faktycznym pociągającym za sobą określone skutki. Tym skutkiem jest utrata kontroli nad danymi osobowymi, które się w niej znajdowały, z czym związane jest konkretne ryzyko dla praw lub wolności osób, których dane dotyczą".

Odnosząc się do trzeciego zarzutu skargi kasacyjnej, tj. zarzutu naruszenia art. 58 ust. 2 lit. "e" i "i" oraz art. 33 ust. 1 RODO, polegającego na ich błędnym zastosowaniu – wypada ponownie podkreślić, nawiązując do uwag poczynionych na wstępie, że zarzutem naruszenia prawa materialnego nie można kwestionować ustaleń faktycznych Sądu I instancji, zaś zarzut naruszenia prawa materialnego przez niewłaściwe zastosowanie – jeżeli nie zakwestionowano jednocześnie ustaleń faktycznych Sądu I instancji za pomocą zarzutów naruszenia przepisów postępowania – może okazać się skuteczny co do zasady tylko w przypadku wykazania wadliwej subsumpcji. Tymczasem zarzut skargi kasacyjnej, o którym mowa, zasadza się na twierdzeniu, że przedmiotowe zdarzenie, inaczej niż przyjął Sąd I instancji, "nie wiązało się z większym niż małe prawdopodobieństwem wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych" (w tym zakresie skarżący kasacyjnie powołał się nawet na własne ustalenia poczynione w wyniku analizy wykonanej zgodnie z metodyką Agencji Unii Europejskiej ds. Cyberbezpieczeństwa) – a zatem zmierza wprost do podważenia relewantnych ustaleń faktycznych. Z tego względu jedynie na marginesie wskazać należy, że – zdaniem Naczelnego Sądu Administracyjnego – nie ma podstaw do kwestionowania stanowiska Sądu I instancji o zaistnieniu przesłanki z art. 33 ust. 1 RODO, nawet przy uwzględnieniu założenia, że liczy się zarówno prawdopodobieństwo, jak i waga zagrożenia.

Czwarty zarzut skargi kasacyjnej – w zakresie, w jakim dotyczy oceny przez Sąd I instancji zaistnienia przesłanki z art. 34 ust. 1 RODO ("naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych") – jest skonstruowany podobnie jak zarzut trzeci, toteż sformułowane wyżej uwagi odnoszą się również do niego, co determinuje uznanie go za nieskuteczny. Z tym zastrzeżeniem, wskazać należy, że zdaniem Naczelnego Sądu Administracyjnego prawidłowa jest ocena organu i Sądu I instancji, w myśl której naruszenie danych osobowych polegające na zagubieniu dokumentacji bankowej obejmującej m.in.: pełnomocnictwo, umowę konta oszczędnościowego, umowę rachunków bankowych oraz karty debetowej, umowę ramową o świadczenie usług finansowych, potwierdzenie zmian do umowy rachunku bankowego, ankietę inwestycyjną, wynik ankiety inwestycyjnej – i zawierającej dane osobowe klientów Banku, w tym: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF – może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Na aprobatę zasługuje przy tym argumentacja organu i Sądu I instancji dotycząca znaczenia numeru PESEL, którego pozyskanie przez osoby trzecie – zwłaszcza razem z innymi danymi – ułatwia kradzież lub sfałszowanie tożsamości. W tym miejscu trzeba stwierdzić, że niezasadny jest też piąty zarzut skargi kasacyjnej, w którym skarżący kasacyjnie wspomnianą argumentację kwestionuje, upatrując w niej naruszania art. 33 ust. 1 i art. 34 ust. 1 RODO, polegającego na błędnej wykładni tych przepisów. Wbrew odnośnemu zarzutowi, Sąd I instancji nie uznał, że objęcie naruszeniem numeru PESEL stanowi automatycznie o wysokim poziomie ryzyka, lecz dokonał oceny w tej mierze z uwzględnieniem ogółu okoliczności przedmiotowej sprawy.

Zgodnie z art. 34 ust. 2 RODO, zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Sąd I instancji ustalił, że informacja przesłana klientom przez Bank nie zawierała elementów, których mowa w powołanym przepisie. Jak zauważył Sąd I instancji, "informacja przesłana do klientów Banku zawierała jedynie bardzo ogólny opis charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem jako istotnego elementu opisu charakteru naruszenia) oraz lakoniczny opis środków w celu zminimalizowania jego ewentualnych negatywnych skutków, który nie pozwalał osobom, których dane objęte zostały naruszeniem, na rzetelną ocenę zaistniałej sytuacji w kontekście zagrożeń dla ich danych osobowych. W ww. piśmie nie umieszczono opisu możliwych konsekwencji, z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od którego można uzyskać więcej informacji. Brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia". Sąd I instancji skonkludował, iż "Prezes UODO prawidłowo ustalił, że Bank (...) nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO". Przytoczone ustalenia jawią się jako prawidłowe, a ponadto sytuują się w sferze ustaleń faktycznych – co sprawia, że zrelatywizowany do nich zarzut naruszenia prawa materialnego (drugi aspekt czwartego zarzutu skargi kasacyjnej) nie mógł odnieść zamierzonego skutku (por. np. wyrok NSA z dnia 13 grudnia 2024 r., III OSK 2115/24).

Dwa ostatnie zarzuty skargi kasacyjnej – szósty i siódmy – dotyczą nałożonej na skarżącego kasacyjnie administracyjnej kary pieniężnej. Gdy idzie o te zarzuty, to w pierwszej kolejności wypada odnieść się do zarzutu naruszenia przepisów postępowania, tj. art. 141 § 4 p.p.s.a. "poprzez wadliwe uzasadnienie wyroku, polegające na całkowitym braku odniesienia się do przesłanek, o których mowa w art. 83 ust. 2 lit. a-k RODO". Art. 141 § 4 p.p.s.a. traktuje o elementach uzasadnienia wyroku – stanowi, że uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Jeżeli w wyniku uwzględnienia skargi sprawa ma być ponownie rozpatrzona przez organ administracji, uzasadnienie powinno ponadto zawierać wskazania co do dalszego postępowania. Zarzut naruszenia art. 141 § 4 p.p.s.a. może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie, i gdy w ramach przedstawienia stanu sprawy wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania. Naruszenie to musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za pomocą odnośnego zarzutu nie można skutecznie zwalczać ustaleń sądu co do stanu faktycznego ani kwestionować stanowiska sądu co do wykładni bądź zastosowania prawa materialnego. W ramach rozpatrywania zarzutu naruszenia art. 141 § 4 p.p.s.a. Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi ze statuowanej tym przepisem normy prawnej. Wadliwość uzasadnienia orzeczenia może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a. w sytuacji, gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku (por. wyrok NSA z dnia 27 września 2024 r., III OSK 2850/22). Zdaniem Naczelnego Sądu Administracyjnego uzasadnienie zaskarżonego wyroku – także w części odnoszącej się do nałożenia i wysokości kary – spełnia wymogi określone w art. 141 § 4 p.p.s.a., wyjaśnia motywy podjętego przez Sąd I instancji rozstrzygnięcia i tym samym sprawia, że poddaje się ono kontroli instancyjnej. Sąd I instancji najpierw zreferował argumentację organu w odnośnym zakresie (s. 13-15 uzasadnienia wyroku), a następnie dokonał jej oceny (s. 32 uzasadnienia wyroku).

Naczelny Sąd Administracyjny podziela ocenę Sądu I instancji, wedle której samo nałożenie i wysokość kary pieniężnej zostały przez organ wystarczająco uzasadnione z uwzględnieniem przesłanek, o których mowa w art. 83 ust. 2 lit. a-k RODO. Organ wskazał okoliczności wpływające na zaostrzenie kary, jak i te, które przemawiały za jej złagodzeniem. Rozstrzygnięcie nie nosi zatem znamion dowolności. Nałożona kara na tle okoliczności przedmiotowej sprawy jawi się jako skuteczna, proporcjonalna i odstraszająca. Zarzut naruszenia art. 83 ust. 1 RODO w związku z art. 83 ust. 2 lit. a-k RODO, polegającego na ich błędnym zastosowaniu – nie zasługiwał zatem na uwzględnienie.

Z tych przyczyn Naczelny Sąd Administracyjny, na podstawie art. 184 p.p.s.a., oddalił skargę kasacyjną. O kosztach postępowania kasacyjnego orzeczono podstawie art. 204 pkt 1 p.p.s.a.