{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:35\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b III OSK 2416/22 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2025-12-03
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-10-04
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Naczelny S\u261?d Administracyjny
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Artur Ku\u347?
\par Miros\u322?aw Wincenciak /przewodnicz\u261?cy/
\par Tadeusz Kie\u322?kowski /sprawozdawca/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 II SA/Wa 4143/21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281? kasacyjn\u261?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2019 nr 0 poz 1781; art. 7 ust. 1; Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j.)
\par Dz.U.UE.L 2016 nr 119 poz 1; art. 33 ust. 1, art. 34 ust. 1; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Naczelny S\u261?d Administracyjny w sk\u322?adzie: Przewodnicz\u261?cy: s\u281?dzia NSA Miros\u322?aw Wincenciak S\u281?dziowie: s\u281?dzia NSA Artur Ku\u347? s\u281?dzia del. WSA Tadeusz Kie\u322?kowski (spr.) Protokolant inspektor s\u261?dowy Olga Wro\u324?ska po rozpoznaniu w dniu 19 listopada 2025 r. na rozprawie w Izbie Og\u243?lnoadministracyjnej skargi kasacyjnej Banku [...] S.A. z siedzib\u261? w W. od wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 4143/21 w sprawie ze skargi Banku [...] S.A. z siedzib\u261? w W. na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia 14 pa\u378?dziernika 2021 r. nr DKN.5131.16.2021 w przedmiocie przetwarzania danych osobowych 1. oddala skarg\u281? kasacyjn\u261?, 2. zas\u261?dza od Banku [...] S.A. w W. na rzecz Prezesa Urz\u281?du Ochrony Danych Osobowych kwot\u281? 5400 (pi\u281?\u263? tysi\u281?cy czterysta) z\u322?otych tytu\u322?em zwrotu koszt\u243?w post\u281?powania kasacyjnego.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wyrokiem z dnia 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie (dalej "WSA w Warszawie", "S\u261?d I instancji") oddali\u322? skarg\u281? Banku [...] S.A. z siedzib\u261? w W. (dalej "Bank") na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych (dalej "organ", "Prezes UODO") z dnia 14 pa\u378?dziernika 2021 r., nr DKN.5131.16.2021, w przedmiocie przetwarzania danych osobowych.
\par 
\par Powy\u380?szy wyrok, od kt\u243?rego zosta\u322?a z\u322?o\u380?ona skarga kasacyjna, zapad\u322? w nast\u281?puj\u261?cych okoliczno\u347?ciach faktycznych i prawnych.
\par 
\par Prezes UODO, decyzj\u261? z dnia 14 pa\u378?dziernika 2021 r., na podstawie art. 104 \u167? 1 k.p.a., art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a tak\u380?e art. 57 ust. 1 lit. a i h, art. 58 ust. 2 lit. e oraz i, art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a w zwi\u261?zku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej "RODO", po przeprowadzeniu post\u281?powania administracyjnego wszcz\u281?tego z urz\u281?du w sprawie braku zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, przez Bank:
\par 
\par 1) stwierdzaj\u261?c naruszenie przez Bank przepis\u243?w: a) art. 33 ust. 1 RODO, polegaj\u261?ce na niezg\u322?oszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zb\u281?dnej zw\u322?oki, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia oraz b) art. 34 ust. 1 RODO, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261? \u8211? na\u322?o\u380?y\u322? na Bank administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 363.832 PLN;
\par 
\par 2) nakaza\u322? Bankowi zawiadomienie \u8211? w terminie 3 dni od dnia dor\u281?czenia decyzji \u8211? M. G. oraz W. G. (dalej "skar\u380?\u261?cy") o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.: a) opisu charakteru naruszenia ochrony danych osobowych; b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji; c) opisu mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych; d) opisu \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu \u8211? w tym \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par W uzasadnieniu powy\u380?szej decyzji organ przytoczy\u322? poczynione ustalenia, z kt\u243?rych wynika, \u380?e dniu 1 kwietnia 2019 r. Oddzia\u322? Banku nada\u322? do Centrali Banku przesy\u322?k\u281?, w kt\u243?rej znajdowa\u322?y si\u281? nast\u281?puj\u261?ce dokumenty: pe\u322?nomocnictwo udzielone skar\u380?\u261?cemu przez skar\u380?\u261?c\u261?, umowa konta oszcz\u281?dno\u347?ciowego profit, umowa rachunk\u243?w bankowych oraz karty debetowej, umowa ramowa o \u347?wiadczenie us\u322?ug finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na dokumentach znajdowa\u322?y si\u281? w szczeg\u243?lno\u347?ci nast\u281?puj\u261?ce dane: imi\u281?, nazwisko, PESEL, adres zameldowania, numery rachunk\u243?w bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skar\u380?\u261?cej oraz imi\u281?, nazwisko i PESEL skar\u380?\u261?cego. Przesy\u322?ka zawieraj\u261?ca dokumenty powinna dotrze\u263? do Centrali Banku w dniu 2 kwietnia 2019 r. W dniu 3 kwietnia 2019 r. Bank podj\u261?\u322? dzia\u322?ania w celu wyja\u347?nienia z firm\u261? kuriersk\u261? X. Sp. z o.o. z siedzib\u261? w W. (dalej "X.") op\u243?\u378?nienia w dor\u281?czeniu przesy\u322?ki. Nast\u281?pnie, w dniu 8 kwietnia 2019 r., Bank z\u322?o\u380?y\u322? oficjaln\u261? reklamacj\u281? w zwi\u261?zku z brakiem dor\u281?czenia przesy\u322?ki. W dniu 16 kwietnia 2019 r. firma kurierska poinformowa\u322?a Bank o zmianie statusu przesy\u322?ki na status zagubionej informuj\u261?c, \u380?e pomimo to nadal podejmuje pr\u243?by wyja\u347?nienia sprawy. W dniu 10 maja 2019 r. firma kurierska poinformowa\u322?a Bank, \u380?e nie zdo\u322?a\u322?a zlokalizowa\u263? przesy\u322?ki i zako\u324?czy\u322?a pr\u243?by jej poszukiwania. Bank, zgodnie z metodyk\u261? opart\u261? na europejskiej metodologii ENISA, oceni\u322? to zdarzenie jako mog\u261?ce powodowa\u263? \u347?rednie ryzyko naruszenia praw i wolno\u347?ci skar\u380?\u261?cych. Bank nie zg\u322?osi\u322? naruszenia do Prezesa UODO ani nie zawiadomi\u322? os\u243?b o naruszeniu ochrony ich danych osobowych w trybie art. 34 ust. 1 RODO, wskazuj\u261?c im w przes\u322?anej informacji o zagubionych dokumentach og\u243?lne informacje dotycz\u261?ce charakteru naruszenia oraz \u347?rodki w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, w tym umo\u380?liwiaj\u261?c skar\u380?\u261?cym skorzystanie z bezp\u322?atnej us\u322?ugi Alert BIK.
\par 
\par Wyja\u347?niaj\u261?c przes\u322?anki rozstrzygni\u281?cia zawartego w decyzji z dnia 14 pa\u378?dziernika 2021 r., Prezes UODO przytoczy\u322? art. 4 pkt 12, art. 33 ust. 1 i 3 oraz art. 34 ust. 1 RODO i zwr\u243?ci\u322? uwag\u281? na znaczenie i funkcje zg\u322?aszania narusze\u324? ochrony danych osobowych przez administrator\u243?w. Organ stwierdzi\u322?, \u380?e naruszenie poufno\u347?ci danych, jakie wyst\u261?pi\u322?o w przedmiotowej sprawie w zwi\u261?zku z naruszeniem ochrony danych osobowych, polegaj\u261?cym na zagubieniu dokumentacji zawieraj\u261?cej dane osobowe klient\u243?w Banku powoduje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. To z kolei skutkuje powstaniem po stronie Banku obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 33 ust. 3 RODO, oraz zawiadomienia os\u243?b o naruszeniu, zgodnie z art. 34 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 34 ust. 2 RODO. Nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszed\u322? w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, kt\u243?re z uwagi na zakres danych nale\u380?y uzna\u263? za wysokie. Bank wprawdzie oceni\u322?, \u380?e zaistnia\u322?e naruszenie nie wi\u261?\u380?e si\u281? z ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b nim dotkni\u281?tych, poniewa\u380? dane nie pos\u322?u\u380?y\u322?y np. do wy\u322?udzenia kredytu ani pr\u243?by takiego wy\u322?udzenia, utrata przesy\u322?ki nie spowodowa\u322?a te\u380? innych niedogodno\u347?ci \u8211? ale przewidzia\u322?, \u380?e naruszenie to mo\u380?e wi\u261?za\u263? si\u281? z takim ryzykiem, skoro zaproponowa\u322?, w ramach \u347?rodk\u243?w w celu zaradzenia naruszeniu, dodatkow\u261? us\u322?ug\u281? BIK Alert.
\par 
\par Zdaniem organu, dla powstania obowi\u261?zku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dane dotycz\u261?, nie jest konieczne zmaterializowanie si\u281? negatywnych konsekwencji naruszenia, wystarczaj\u261?ca jest w tym zakresie sama mo\u380?liwo\u347?\u263? (ryzyko) wyst\u261?pienia takich konsekwencji, kt\u243?re w niniejszej sprawie, w ocenie organu nadzorczego, jest wysokie. Prezes UODO, odwo\u322?uj\u261?c si\u281? do tre\u347?ci art. 34 ust. 1 i art. 33 ust. 1 RODO, stwierdzi\u322?, \u380?e dokonuj\u261?c oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, od kt\u243?rej uzale\u380?nione jest dokonanie zg\u322?oszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, kt\u243?rej dane dotycz\u261?, nale\u380?y \u322?\u261?cznie uwzgl\u281?dni\u263? czynnik prawdopodobie\u324?stwa i wag\u281? potencjalnych negatywnych skutk\u243?w. Wysoki poziom kt\u243?regokolwiek z tych czynnik\u243?w ma wp\u322?yw na wysoko\u347?\u263? og\u243?lnej oceny, od kt\u243?rej uzale\u380?nione jest wype\u322?nienie obowi\u261?zk\u243?w okre\u347?lonych w powo\u322?anych przepisach art. 33 ust. 1 i art. 34 ust. 1 RODO. Ze wzgl\u281?du na zakres ujawnionych danych osobowych wyst\u261?pi\u322?a mo\u380?liwo\u347?\u263? zmaterializowania si\u281? donios\u322?ych negatywnych konsekwencji dla os\u243?b, kt\u243?rych dane dotycz\u261?, wag\u281? potencjalnego wp\u322?ywu na prawa lub wolno\u347?ci os\u243?b fizycznych nale\u380?y zatem uzna\u263? za wysok\u261?. Prawdopodobie\u324?stwo wyst\u261?pienia wysokiego ryzyka w nast\u281?pstwie naruszenia nie jest ma\u322?e i nie zosta\u322?o wyeliminowane. Wyst\u261?pienie, w zwi\u261?zku z przedmiotowym naruszeniem, wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, determinuje obowi\u261?zek dokonania zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu tych os\u243?b. Brak zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO przez Bank jest niezrozumia\u322?y w zwi\u261?zku z tym, \u380?e sam administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolno\u347?ci skar\u380?\u261?cych przyj\u261?\u322? \u347?redni poziom tego ryzyka. Okre\u347?lone na tym poziomie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, nie wy\u322?\u261?cza za\u347? obowi\u261?zku, o kt\u243?rym mowa w art. 33 ust. 1 RODO. Bank zatem stosownie do wyniku w\u322?asnej analizy ryzyka przeprowadzonej w zwi\u261?zku z naruszeniem powinien co najmniej dokona\u263? zg\u322?oszenia naruszenia organowi nadzorczemu, czego nie uczyni\u322?.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e ani na gruncie RODO, ani \u380?adnego innego aktu prawnego, nie funkcjonuje enumeratywne wyliczenie zdarze\u324? kwalifikowanych jako naruszenie ochrony danych osobowych. Art. 4 pkt 12 RODO stanowi, i\u380? naruszenie ochrony danych osobowych rozumiane jest jako naruszenie bezpiecze\u324?stwa, prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych. Zawarte w tym przepisie wyliczenie operacji przetwarzania posiada charakter wy\u322?\u261?cznie przyk\u322?adowy, w istocie bowiem ka\u380?da operacja przetwarzania mo\u380?e wi\u261?za\u263? si\u281? z naruszeniem bezpiecze\u324?stwa danych. W przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejno\u347?ci konieczne jest dokonanie analizy pod k\u261?tem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Administrator zwolniony jest z obowi\u261?zku powiadamiania organu nadzorczego o naruszeniu, je\u347?li w wyniku przeprowadzonego badania oka\u380?e si\u281?, \u380?e nie ma prawdopodobie\u324?stwa wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Organ nadzorczy b\u281?dzie jednak m\u243?g\u322? zwr\u243?ci\u263? si\u281? do administratora o uzasadnienie decyzji o niezg\u322?aszaniu naruszenia, w zwi\u261?zku z tym wnioski z przeprowadzonej analizy nale\u380?y odnotowa\u263? w wewn\u281?trznej ewidencji narusze\u324?.
\par 
\par Organ zwr\u243?ci\u322? uwag\u281? na konsekwencje, z jakimi mo\u380?e wi\u261?za\u263? si\u281? ujawnienie nr PESEL, w tym w szczeg\u243?lno\u347?ci kradzie\u380?y to\u380?samo\u347?ci. Administrator, bior\u261?c pod uwag\u281? charakter naruszenia oraz kategorie danych, kt\u243?re uleg\u322?y naruszeniu, powinien wskaza\u263? osobom, kt\u243?rych dane dotycz\u261?, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. W przypadku naruszenia takich danych, jak imi\u281?, nazwisko oraz nr PESEL, mo\u380?liwa jest kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci poprzez uzyskanie przez osoby trzecie, na szkod\u281? os\u243?b, kt\u243?rych dane naruszono, po\u380?yczek w instytucjach pozabankowych b\u261?d\u378? wy\u322?udzenia ubezpieczenia lub \u347?rodk\u243?w z ubezpieczenia, co mo\u380?e spowodowa\u263? negatywne konsekwencje zwi\u261?zane z pr\u243?b\u261? przypisania osobom, kt\u243?rych dane dotycz\u261?, odpowiedzialno\u347?ci za dokonanie takiego oszustwa. Opis mo\u380?liwych konsekwencji powinien za\u347? odzwierciedla\u263? ryzyko naruszenia praw lub wolno\u347?ci tej osoby, tak aby umo\u380?liwi\u263? jej podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych.
\par 
\par Prezes UODO wskaza\u322?, \u380?e przes\u322?ana do skar\u380?\u261?cych przez Bank informacja o zagubionych dokumentach nie zawiera element\u243?w, o kt\u243?rych mowa w art. 34 ust. 2 RODO, co oznacza w konsekwencji, \u380?e nie mo\u380?e zosta\u263? uznana za zawiadomienie o naruszeniu ochrony danych osobowych. Prawid\u322?owe zawiadomienie powinno bowiem jasnym i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych oraz zawiera\u263? przynajmniej informacje i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b, c i d RODO. Tymczasem informacja przes\u322?ana do skar\u380?\u261?cych zawiera\u322?a jedynie bardzo og\u243?lny opis charakteru naruszenia (bez wskazania kategorii danych obj\u281?tych naruszeniem) oraz \u347?rodki w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, w tym umo\u380?liwienie skorzystania skar\u380?\u261?cym z bezp\u322?atnej us\u322?ugi Alert BIK. W przedmiotowym pi\u347?mie nie umieszczono natomiast opisu mo\u380?liwych konsekwencji, z jakimi wi\u261?za\u263? si\u281? mo\u380?e przedmiotowe naruszenie ochrony danych osobowych, oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji; brak w niej r\u243?wnie\u380? odniesienia si\u281? do \u347?rodk\u243?w bezpiecze\u324?stwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia. Bank nie dokona\u322? zatem zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowi\u261?zku z art. 33 ust. 1 RODO ani nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepis\u243?w.
\par 
\par Prezes UODO wskaza\u322?, \u380?e zgodnie z art. 34 ust. 4 RODO, je\u380?eli administrator nie zawiadomi\u322? jeszcze os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych osobowych, organ nadzorczy \u8211? bior\u261?c pod uwag\u281? prawdopodobie\u324?stwo, \u380?e to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko \u8211? mo\u380?e od niego tego za\u380?\u261?da\u263? lub mo\u380?e stwierdzi\u263?, \u380?e spe\u322?niony zosta\u322? jeden z warunk\u243?w, o kt\u243?rych mowa w ust. 3. Z kolei z tre\u347?ci art. 58 ust. 2 lit. e RODO wynika, \u380?e ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych. Ponadto, zgodnie z art. 58 ust. 2 lit. i RODO, ka\u380?demu organowi nadzorczemu przys\u322?uguje uprawnienie do zastosowania, opr\u243?cz lub zamiast innych \u347?rodk\u243?w naprawczych przewidzianych wart. 58 ust. 2 RODO, administracyjnej kary pieni\u281?\u380?nej na mocy art. 83 RODO, zale\u380?nie od okoliczno\u347?ci konkretnej sprawy.
\par 
\par Prezes UODO stwierdzi\u322?, \u380?e w rozpatrywanej sprawie zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na Bank administracyjnej kary pieni\u281?\u380?nej w oparciu o art. 83 ust. 4 lit. a RODO. Decyduj\u261?c o na\u322?o\u380?eniu na Bank administracyjnej kary pieni\u281?\u380?nej, organ wzi\u261?\u322? pod uwag\u281? przes\u322?anki, o kt\u243?rych mowa w art. 83 ust. 2 lit. a-k RODO. Okoliczno\u347?ci, kt\u243?re organ uzna\u322? za istotne z punktu widzenia tych przes\u322?anek, zosta\u322?y w uzasadnieniu decyzji przedstawione. Organ zaznaczy\u322?, \u380?e ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, uwzgl\u281?dni\u322? r\u243?wnie\u380? okre\u347?lone okoliczno\u347?ci \u322?agodz\u261?ce. W ocenie Prezesa UODO, zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Pismem z dnia 17 listopada 2021 r. Bank skierowa\u322? do WSA w Warszawie skarg\u281? na decyzj\u281? Prezesa UODO z dnia 14 pa\u378?dziernika 2021 r., wnosz\u261?c o jej uchylenie w ca\u322?o\u347?ci i zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania, w tym koszt\u243?w zast\u281?pstwa procesowego, wed\u322?ug norm przepisanych. Bank zarzuci\u322? zaskar\u380?onej decyzji naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj.: 1) art. 33 ust. 1 RODO i art. 34 ust. 1 RODO w zw. z art. 4 pkt 7 RODO polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni, a w konsekwencji na niew\u322?a\u347?ciwym zastosowaniu i b\u322?\u281?dnym przyj\u281?ciu, \u380?e Bank by\u322? zobowi\u261?zany do zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu; 2) art. 33 ust. 1 RODO w zw. z art. 4 pkt 12 RODO polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni, a w konsekwencji niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e Bank mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki, zawieraj\u261?cej dane osobowe skar\u380?\u261?cych, przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? w sytuacji, gdy zdarzenie to nie stanowi\u322?o naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, co doprowadzi\u322?o do niezasadnego stwierdzenia, \u380?e Bank naruszy\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu i na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej; 3) art. 58 ust. 2 lit. e oraz i RODO oraz art. 33 ust. 1 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e Bank mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki, zawieraj\u261?cej dane osobowe skar\u380?\u261?cych przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? z uwagi na wysokie ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych, w sytuacji, gdy zdarzenie to, nawet w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wi\u261?za\u322?o si\u281? z wi\u281?kszym ni\u380? ma\u322?e prawdopodobie\u324?stwem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych na poziomie uzasadniaj\u261?cym takie zg\u322?oszenie do organu, co Bank oceni\u322? w wyniku przeprowadzenia prawid\u322?owej analizy ryzyka, wykonanej zgodnie z metodyk\u261? Agencji Unii Europejskiej ds. Cyberbezpiecze\u324?stwa ("ENISA"), rekomendowan\u261? przez Europejsk\u261? Rad\u281? Ochrony Danych (EROD), kt\u243?ra wykaza\u322?a, \u380?e powag\u281? naruszenia nale\u380?y oceni\u263? na poziomie \u347?rednim, a w konsekwencji nie jest konieczne zg\u322?oszenie naruszenia do Prezesa UODO, a tym bardziej zawiadomienie podmiot\u243?w danych, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e Bank naruszy\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu, a nast\u281?pnie do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej; 4) art. 58 ust. 2 lit. e oraz i RODO oraz art. 34 ust. 1 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e Bank mia\u322? obowi\u261?zek dokona\u263? zawiadomienia wobec skar\u380?\u261?cych o zgubieniu przesy\u322?ki, zawieraj\u261?cej ich dane osobowe, przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261?, kt\u243?rego nie zrealizowa\u322? w sytuacji, gdy incydent bezpiecze\u324?stwa nie wi\u261?za\u322? si\u281? z wysokim ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych, a wi\u281?c takie zawiadomienie nie by\u322?o konieczne, a pomimo to Bank powiadomi\u322? osoby, kt\u243?rych dane dotycz\u261? o incydencie bezpiecze\u324?stwa, a tak\u380?e przekaza\u322? im informacje, o kt\u243?rych mowa w art. 34 ust. 2 RODO, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e Bank naruszy\u322? te przepisy, a nast\u281?pnie do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej; 5) art. 58 ust. 21 lit. e oraz i RODO oraz art. 33 ust. 1 RODO i art. 34 ust. 1 RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e w przypadku, gdy naruszeniem ochrony danych osobowych obj\u281?ty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, w sytuacji gdy ka\u380?dorazowe wyst\u261?pienie naruszenia ochrony danych osobowych wymaga odr\u281?bnej analizy ryzyka w kontek\u347?cie zmiennych element\u243?w stanu faktycznego, a w konsekwencji obj\u281?cie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadzi\u322?o do niezasadnego stwierdzenia przez organ, \u380?e Bank naruszy\u322? te przepisy, a nast\u281?pnie do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej; 6) art. 83 ust. 1 w zwi\u261?zku z art. 83 ust. 2 lit. a RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e: a) naruszenie ma powa\u380?ny charakter i znaczn\u261? wag\u281?, ze wzgl\u281?du na fakt, \u380?e osoby, kt\u243?rych dotyczy\u322?o rzekome naruszenie, mog\u322?y ponie\u347?\u263? szkod\u281? maj\u261?tkow\u261? lub niemaj\u261?tkow\u261?, o kt\u243?rej mowa w art. 83 ust. 2 lit. a RODO, a prawdopodobie\u324?stwo ich poniesienia jest wysokie, podczas gdy organ nie stwierdzi\u322? powstania szkody maj\u261?tkowej lub niemaj\u261?tkowej po stronie podmiot\u243?w danych, a prawdopodobie\u324?stwo jej wyst\u261?pienia po up\u322?ywie ponad 2,5 roku od daty rzekomego naruszenia ochrony danych osobowych jest marginalne, b) naruszenie ma charakter d\u322?ugotrwa\u322?y z uwagi na fakt, \u380?e w okresie ponad 2 lat od daty rzekomego naruszenia do daty wydania decyzji ryzyko naruszenia praw lub wolno\u347?ci mog\u322?o si\u281? zrealizowa\u263?, a osoby, kt\u243?rych dane dotycz\u261?, nie mog\u322?y temu przeciwdzia\u322?a\u263? z uwagi na niewywi\u261?zanie si\u281? Banku z w\u322?a\u347?ciwego zg\u322?oszenia i zawiadomienia o naruszeniu, podczas gdy naruszenie nie mia\u322?o d\u322?ugotrwa\u322?ego charakteru, gdy\u380? Bank niezw\u322?ocznie przyst\u261?pi\u322? do analizy incydentu bezpiecze\u324?stwa, a nast\u281?pnie niezw\u322?ocznie poinformowa\u322? podmioty danych o zdarzeniu, pomimo i\u380? w jego ocenie zdarzenie to nie stanowi\u322?o naruszenia ochrony danych osobowych, a tak\u380?e nie wi\u261?za\u322?o si\u281? i nadal nie wi\u261?\u380?e si\u281? z wysokim ryzykiem dla praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci; 7) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. b RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261?, i\u380? rzekome naruszenie przepis\u243?w RODO przez Bank mia\u322?o charakter umy\u347?lny, w sytuacji, w kt\u243?rej Bank dokona\u322? prawid\u322?owej analizy incydentu bezpiecze\u324?stwa zgodnie z metodyk\u261? ENISA rekomendowan\u261? przez EROD, a nast\u281?pnie zgodnie z podej\u347?ciem opartym na ryzyku podj\u261?\u322? pe\u322?noprawn\u261? decyzj\u281? o niezg\u322?aszaniu naruszenia ochrony danych osobowych do organu, jednocze\u347?nie podejmuj\u261?c wszelkie dzia\u322?ania, maj\u261?ce na celu zapobie\u380?enie ewentualnym negatywnym skutkom incydentu bezpiecze\u324?stwa, w tym kontakt z osobami, kt\u243?rych dane dotycz\u261?, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci; 8) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. f RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? co do braku wsp\u243?\u322?pracy Banku z organem w celu usuni\u281?cia naruszenia lub z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w, w sytuacji, w kt\u243?rej Bank ka\u380?dorazowo udziela\u322? wyczerpuj\u261?cych wyja\u347?nie\u324? na pytania organu i przedstawia\u322? niezb\u281?dne dowody, w terminach wskazanych przez organ, pomimo i\u380? dzia\u322?a\u322? w przekonaniu, \u380?e incydent bezpiecze\u324?stwa nie stanowi naruszenia, a w przypadku jego kwalifikacji jako naruszenia, nie wi\u261?\u380?e si\u281? on z ryzykiem dla podmiot\u243?w danych na poziomie wymagaj\u261?cym zg\u322?oszenia do organu lub podmiot\u243?w danych, wobec czego organ nie powinien by\u322? traktowa\u263? tej przes\u322?anki jako okoliczno\u347?ci obci\u261?\u380?aj\u261?cej, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci; 9) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. g RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? kategorii danych osobowych obj\u281?tych rzekomym naruszeniem, w sytuacji gdy naruszenie nie dotyczy\u322?o szczeg\u243?lnych kategorii danych ani danych, o kt\u243?rych mowa w art. 10 RODO, a zakres danych obj\u281?tych naruszeniem by\u322? w\u261?ski i w przypadku jednego z dw\u243?ch podmiot\u243?w danych, kt\u243?rych dotyczy\u322?o naruszenie, obejmowa\u322? jedynie trzy rekordy danych, wobec czego organ nie powinien by\u322? traktowa\u263? tej przes\u322?anki jako okoliczno\u347?ci obci\u261?\u380?aj\u261?cej, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci; 10) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit d, e i k RODO, polegaj\u261?ce na ich niew\u322?a\u347?ciwym zastosowaniu i przyj\u281?ciu, \u380?e stopie\u324? odpowiedzialno\u347?ci Banku z uwzgl\u281?dnieniem wdro\u380?onych \u347?rodk\u243?w technicznych i organizacyjnych, jak r\u243?wnie\u380? brak wcze\u347?niejszego naruszenia ze strony Banku oraz nieosi\u261?gni\u281?cie przez Bank bezpo\u347?rednio lub po\u347?rednio w zwi\u261?zku z naruszeniem korzy\u347?ci finansowych lub unikni\u281?cie przez Bank straty, nie mia\u322?y \u380?adnego wp\u322?ywu na wymiar administracyjnej kary pieni\u281?\u380?nej na\u322?o\u380?onej przez organ na Bank, podczas gdy stanowi\u261? one okoliczno\u347?ci \u322?agodz\u261?ce maj\u261?ce zastosowanie w ka\u380?dym indywidualnym przypadku naruszenia, w tym odnosz\u261?ce si\u281? do Banku, co doprowadzi\u322?o do na\u322?o\u380?enia na Bank administracyjnej kary pieni\u281?\u380?nej w nieadekwatnej wysoko\u347?ci, naruszaj\u261?cej zasad\u281? proporcjonalno\u347?ci; 11) art. 83 ust. 1 RODO, polegaj\u261?ce na jego niew\u322?a\u347?ciwym zastosowaniu i wymierzeniu Bankowi administracyjnej kary pieni\u281?\u380?nej za naruszenie przepis\u243?w RODO, obj\u281?tych przepisem art. 83 ust. 4 lit. a RODO, w celu zniech\u281?cenia innych administrator\u243?w do naruszania w przysz\u322?o\u347?ci prawa ochrony danych osobowych, co skutkowa\u322?o wymierzeniem kary z naruszeniem zasady jej zindywidualizowania i w wysoko\u347?ci nieproporcjonalnej do rzekomego naruszenia przepis\u243?w RODO, kt\u243?rego w ocenie organu dopu\u347?ci\u322? si\u281? Bank. Organ wni\u243?s\u322? o oddalenie skargi. Argumentacja stron zosta\u322?a rozwini\u281?ta w kolejnych pismach procesowych.
\par 
\par W dniu 1 lipca 2022 r. WSA w Warszawie wyda\u322? opisany na wst\u281?pie wyrok, kt\u243?rym oddali\u322? skarg\u281?. W uzasadnieniu tego wyroku S\u261?d I instancji podkre\u347?li\u322?, \u380?e celem RODO (wyra\u380?onym w art. 1 ust. 2) jest ochrona podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci ich prawa do ochrony danych osobowych, oraz \u380?e ochrona os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambu\u322?y). W przypadku jakichkolwiek w\u261?tpliwo\u347?ci, np. co do wykonania obowi\u261?zk\u243?w przez administrator\u243?w \u8211? nie tylko w sytuacji, gdy dosz\u322?o do naruszenia ochrony danych osobowych, ale te\u380? przy opracowywaniu technicznych i organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa maj\u261?cych im zapobiega\u263? \u8211? nale\u380?y w pierwszej kolejno\u347?ci bra\u263? pod uwag\u281? te warto\u347?ci. Prezes UODO dokona\u322? prawid\u322?owej wyk\u322?adni art. 33 ust. 1 zdanie pierwsze RODO \u8211? wbrew twierdzeniom wnosz\u261?cego skarg\u281?, to Bank jest administratorem danych osobowych, wobec kt\u243?rych nast\u261?pi\u322?o naruszenie ochrony danych osobowych polegaj\u261?ce na zagubieniu dokumentacji, zawieraj\u261?cej dane osobowe klient\u243?w Banku. W zagubionej przesy\u322?ce znajdowa\u322?y si\u281? dokumenty bankowe \u8211? nie ma w\u261?tpliwo\u347?ci, \u380?e administratorem danych widniej\u261?cych na nich jest Bank, kt\u243?ry te\u380? nada\u322? przesy\u322?k\u281?, i to Bank zobowi\u261?zany by\u322? do zrealizowania obowi\u261?zk\u243?w ci\u261?\u380?\u261?cych na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, okre\u347?li\u322? cele przetwarzania danych obj\u281?tych odno\u347?nym naruszeniem, a tak\u380?e sposoby ich przetwarzania. W przypadku nieprawid\u322?owo\u347?ci w dostarczaniu przesy\u322?ki obowi\u261?zek ochrony interes\u243?w podmiotu danych z punktu widzenia ryzyka naruszenia praw lub wolno\u347?ci osoby, kt\u243?rej dane dotycz\u261?, ci\u261?\u380?y na nadawcy przesy\u322?ki, kt\u243?ry znaj\u261?c zawarto\u347?\u263? utraconej korespondencji, jest w stanie oceni\u263? zagro\u380?enia wynikaj\u261?ce dla osoby, kt\u243?rej dane dotycz\u261?. Natomiast operator pocztowy oraz firma kurierska obowi\u261?zki administratora, w rozumieniu przepis\u243?w RODO, mo\u380?e wykonywa\u263?, ale wy\u322?\u261?cznie w odniesieniu do danych osobowych nadawc\u243?w i adresat\u243?w przesy\u322?ek. To zatem Bank mo\u380?e oceni\u263?, jakim ryzykiem dla praw lub wolno\u347?ci osoby fizycznej skutkuje utrata przesy\u322?ki i w zwi\u261?zku z tym ma mo\u380?liwo\u347?\u263? wykonania obowi\u261?zku w zakresie zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu osoby, kt\u243?rej dane dotycz\u261?. Firma kurierska takiej wiedzy nie posiada. Tak wi\u281?c, w przedmiotowej sprawie na Banku spoczywa\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 RODO i zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, zgodnie z art. 34 ust. 1 RODO.
\par 
\par W ocenie S\u261?du I instancji w niniejszej sprawie zaistnia\u322?y przes\u322?anki, okre\u347?lone w art. 4 pkt 12 RODO, warunkuj\u261?ce uznanie incydentu bezpiecze\u324?stwa za naruszenie ochrony danych osobowych. Zgodnie bowiem z definicj\u261? naruszenia ochrony danych osobowych, zawart\u261? w tym przepisie, naruszenie ochrony danych osobowych oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przes\u322?anych, przechowanych lub w inny spos\u243?b przetwarzanych. Przy interpretacji poj\u281?cia naruszenia ochrony danych osobowych, okre\u347?lonego powo\u322?anym przepisem, nie mo\u380?na pomija\u263? innych przepis\u243?w RODO nak\u322?adaj\u261?cych obowi\u261?zki na administratora danych w przypadku wyst\u261?pienia takiego naruszenia, tj. art. 33 ust. 1 i art. 34 ust. 1 RODO, kt\u243?re wprost m\u243?wi\u261? o ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych w zwi\u261?zku z naruszeniem ochrony danych osobowych. W wyniku przedmiotowego zdarzenia, tj. zagubienia przesy\u322?ki zawieraj\u261?cej dokumenty z danymi osobowymi klient\u243?w Banku, dosz\u322?o do naruszenia bezpiecze\u324?stwa, w wyniku kt\u243?rego powsta\u322?o ryzyko nieuprawnionego wej\u347?cia w posiadanie danych osobowych, a wi\u281?c ryzyko przypadkowego ich ujawnienia. Tym samym zosta\u322?y spe\u322?nione przes\u322?anki dla zaistnienia naruszenia ochrony danych osobowych.
\par 
\par S\u261?d I instancji podkre\u347?li\u322?, \u380?e mo\u380?liwe konsekwencje zaistnia\u322?ego zdarzenia nie musz\u261? si\u281? zmaterializowa\u263? \u8211? w tre\u347?ci art. 33 ust. 1 RODO wskazano, \u380?e samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu. Bank, zgodnie z metodyk\u261? opart\u261? na europejskiej metodologii ENISA, oceni\u322? zdarzenie zagubienia przesy\u322?ki jako mog\u261?ce powodowa\u263? \u347?rednie ryzyko naruszenia praw i wolno\u347?ci skar\u380?\u261?cych, a okre\u347?lone na tym poziomie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, nie wy\u322?\u261?cza obowi\u261?zku, o kt\u243?rym mowa w art. 33 ust. 1 RODO. Bank zatem, stosownie do wyniku w\u322?asnej analizy ryzyka przeprowadzonej w zwi\u261?zku z naruszeniem, powinien dokona\u263? co najmniej zg\u322?oszenia naruszenia organowi nadzorczemu, czego nie uczyni\u322?. Racj\u281? ma organ, \u380?e brak zg\u322?oszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy mo\u380?liwo\u347?ci odpowiedniej reakcji na naruszenie, kt\u243?ra przejawia si\u281? nie tylko w ocenie ryzyka naruszenia dla praw lub wolno\u347?ci osoby fizycznej, ale r\u243?wnie\u380? w szczeg\u243?lno\u347?ci na weryfikacji, czy administrator zastosowa\u322? w\u322?a\u347?ciwe \u347?rodki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutk\u243?w dla os\u243?b, kt\u243?rych dane dotycz\u261?, jak r\u243?wnie\u380?, czy zastosowa\u322? odpowiednie \u347?rodki bezpiecze\u324?stwa w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia. Zagini\u281?cie przesy\u322?ki, zawieraj\u261?cej dokumentacj\u281? klient\u243?w Banku, wbrew twierdzeniom Banku, jest zdarzeniem faktycznym poci\u261?gaj\u261?cym za sob\u261? okre\u347?lone skutki. Tym skutkiem jest utrata kontroli nad danymi osobowymi, kt\u243?re si\u281? w niej znajdowa\u322?y, z czym zwi\u261?zane jest konkretne ryzyko dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. W zwi\u261?zku z zagubieniem danych wyst\u261?pi\u322?a mo\u380?liwo\u347?\u263? ujawnienia ich osobom nieuprawnionym, a to z kolei oznacza naruszenie bezpiecze\u324?stwa skutkuj\u261?ce ryzykiem utraty poufno\u347?ci danych osobowych, za\u347? zakres tych danych wskazuje na wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par S\u261?d I instancji podzieli\u322? stanowisko Prezesa UODO, \u380?e utrata poufno\u347?ci numeru PESEL w po\u322?\u261?czeniu z danymi osobowymi, takimi jak: imi\u281? i nazwisko, adres zameldowania, numery rachunk\u243?w bankowych oraz numer identyfikacyjny nadawany klientom Banku \u8211? numer CIF, wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. W przypadku naruszenia takich danych, jak imi\u281?, nazwisko oraz numer PESEL, mo\u380?liwa jest bowiem kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci skutkuj\u261?ca negatywnymi konsekwencjami dla os\u243?b, kt\u243?rych dane dotycz\u261?. Dlatego te\u380? Bank w przedmiotowej sprawie powinien by\u322? bez zb\u281?dnej zw\u322?oki, stosownie do art. 34 ust. 1 RODO, zawiadomi\u263? osoby, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych osobowych, tak aby umo\u380?liwi\u263? im podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych. W zawiadomieniu niezb\u281?dne jest wskazanie co najmniej tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 RODO, z kt\u243?rego to obowi\u261?zku Bank nie wywi\u261?za\u322? si\u281?. Bank podejmuj\u261?c zatem decyzj\u281? o niezawiadomieniu o naruszeniu ochrony danych osobowych organu nadzorczego, jak i os\u243?b, kt\u243?rych dane dotycz\u261?, w praktyce pozbawi\u322? te osoby, przekazanej bez zb\u281?dnej zw\u322?oki, rzetelnej informacji o naruszeniu i mo\u380?liwo\u347?ci przeciwdzia\u322?ania potencjalnym szkodom. Przes\u322?ana przez Bank do os\u243?b, kt\u243?rych dane dotycz\u261?, informacja o zagubionych dokumentach nie zawiera element\u243?w, o kt\u243?rych mowa w art. 34 ust. 2 RODO, co oznacza w konsekwencji, \u380?e nie mo\u380?e zosta\u263? uznana za zawiadomienie o naruszeniu ochrony danych osobowych. Prawid\u322?owe zawiadomienie, stosownie do powo\u322?anego przepisu, powinno bowiem jasnym i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych oraz zawiera\u263? przynajmniej informacje i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b, c i d RODO. Natomiast informacja przes\u322?ana do klient\u243?w Banku zawiera\u322?a jedynie bardzo og\u243?lny opis charakteru naruszenia (bez wskazania kategorii danych obj\u281?tych naruszeniem jako istotnego elementu opisu charakteru naruszenia) oraz lakoniczny opis \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, kt\u243?ry nie pozwala\u322? osobom, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem, na rzeteln\u261? ocen\u281? zaistnia\u322?ej sytuacji w kontek\u347?cie zagro\u380?e\u324? dla ich danych osobowych. W przedmiotowym pi\u347?mie nie umieszczono opisu mo\u380?liwych konsekwencji, z jakimi wi\u261?za\u263? si\u281? mo\u380?e przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji. Brak w niej r\u243?wnie\u380? odniesienia si\u281? do \u347?rodk\u243?w bezpiecze\u324?stwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia.
\par 
\par S\u261?d I instancji uzna\u322? za zasadne stanowisko organu, wedle kt\u243?rego opis mo\u380?liwych konsekwencji powinien odzwierciedla\u263? ryzyko naruszenia praw lub wolno\u347?ci tych os\u243?b, tak aby umo\u380?liwi\u263? im podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych. Mo\u380?liwe konsekwencje powinny mie\u263? charakter opisowy skierowany bezpo\u347?rednio do os\u243?b. Wskazywane przez administratora mo\u380?liwe konsekwencje powinny wsp\u243?\u322?gra\u263? z proponowanymi \u347?rodkami minimalizuj\u261?cymi ewentualne negatywne konsekwencje naruszenia dla os\u243?b, kt\u243?rych dane dotycz\u261?. Ponadto, administrator zobowi\u261?zany jest wskaza\u263?, jakie dzia\u322?ania podj\u261?\u322? b\u261?d\u378? proponuje podj\u261?\u263? w zwi\u261?zku z naruszeniem ochrony danych osobowych. Obowi\u261?zkiem administratora jest bowiem zaproponowanie osobom, kt\u243?rych dane dotycz\u261?, \u347?rodk\u243?w w celu zminimalizowania zaistnienia negatywnych skutk\u243?w takiego zdarzenia. Zalecenia te powinny mie\u263? form\u281? konkretnych i adekwatnych do danej sytuacji wskaz\u243?wek, kt\u243?re pozwol\u261? osobom podj\u261?\u263? dzia\u322?ania w celu ochrony ich interes\u243?w. Og\u243?lnikowa i niepe\u322?na informacja w tym zakresie pozbawia osoby, kt\u243?rych dane osobowe obj\u281?te zosta\u322?y naruszeniem, podstawowych informacji umo\u380?liwiaj\u261?cych im realn\u261? ocen\u281? zagro\u380?e\u324? i podj\u281?cie racjonalnej decyzji, czy i z jakich zaproponowanych przez administratora \u347?rodk\u243?w zaradczych skorzysta\u263? w celu zminimalizowania negatywnych konsekwencji naruszenia. Prezes UODO prawid\u322?owo ustali\u322? zatem, \u380?e Bank nie dokona\u322? zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzoru w wykonaniu obowi\u261?zku z art. 33 ust. 1 RODO oraz nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepis\u243?w.
\par 
\par S\u261?d I instancji wskaza\u322?, \u380?e je\u380?eli administrator nie wywi\u261?\u380?e si\u281? z obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych organowi nadzorczemu albo osobom, kt\u243?rych dane dotycz\u261?, albo zar\u243?wno organowi nadzorczemu, jak i osobom, kt\u243?rych dane dotycz\u261?, pomimo spe\u322?nienia wymog\u243?w ustanowionych w art. 33 lub 34, organ nadzorczy mo\u380?e skorzysta\u263? z mo\u380?liwo\u347?ci, kt\u243?ra obejmowa\u322?aby wzi\u281?cie pod uwag\u281? wszystkich \u347?rodk\u243?w naprawczych znajduj\u261?cych si\u281? w jego dyspozycji, co wi\u261?\u380?e si\u281? z mo\u380?liwo\u347?ci\u261? zastosowania administracyjnej kary pieni\u281?\u380?nej w po\u322?\u261?czeniu ze \u347?rodkiem naprawczym przewidzianym w art. 58 ust. 2 RODO, albo bez takiego \u347?rodka. Je\u380?eli zdecydowano si\u281? zastosowa\u263? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?, warto\u347?\u263? tej kary mo\u380?e opiewa\u263? na kwot\u281? do 10 000 000 EUR lub do 2% ca\u322?kowitego rocznego \u347?wiatowego obrotu z poprzedniego roku obrotowego przedsi\u281?biorstwa, zgodnie z art. 83 ust. 4 lit. a RODO. Skoro z okoliczno\u347?ci faktycznych sprawy wynika, \u380?e Bank naruszy\u322? podstawowe obowi\u261?zki, przewidziane w art. 33 ust. 1 oraz w art. 34 ust. 1 RODO, to mo\u380?liwe by\u322?o zastosowanie art. 83 ust. 2 RODO. W ocenie S\u261?du I instancji, zastosowana przez Prezesa UODO administracyjna kara pieni\u281?\u380?na spe\u322?nia, w ustalonych okoliczno\u347?ciach niniejszej sprawy, funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Organ wyczerpuj\u261?co uzasadni\u322? na\u322?o\u380?enie administracyjnej kary finansowej, wskazuj\u261?c, okre\u347?lone w art. 83 ust. 1 i ust. 2, a tak\u380?e w art. 33 ust. 1 i art. 34 ust. 1 RODO, przes\u322?anki, na jakich si\u281? opar\u322? z uwzgl\u281?dnieniem charakteru, wagi i czasu trwania naruszenia, oraz okoliczno\u347?ci zar\u243?wno obci\u261?\u380?aj\u261?ce, jak i \u322?agodz\u261?ce wymiar tej kary. W uzasadnieniu zaskar\u380?onej decyzji Prezes PUODO wskaza\u322?, na podstawie art. 83 ust. 2 lit. a-k RODO, jakie okoliczno\u347?ci uzna\u322? za te, kt\u243?re wp\u322?ywaj\u261? na zaostrzenie kary i te, kt\u243?re przemawiaj\u261? za z\u322?agodzeniem wymiaru kary. Nie mo\u380?na wi\u281?c organowi orzekaj\u261?cemu w sprawie skutecznie postawi\u263? zarzutu dowolno\u347?ci podj\u281?tego rozstrzygni\u281?cia. Przes\u322?anki, jakie nale\u380?y wzi\u261?\u263? pod uwag\u281? przy nak\u322?adaniu przez organ administracyjnej kary pieni\u281?\u380?nej, s\u261? przes\u322?ankami zasadniczo ocennymi. Tak wi\u281?c, kt\u243?ra z przes\u322?anek miarkowania kary jest przes\u322?ank\u261? \u322?agodz\u261?c\u261?, a kt\u243?ra zaostrzaj\u261?c\u261? jej wymiar, jest uzale\u380?niona ka\u380?dorazowo od oceny okoliczno\u347?ci konkretnej sprawy przez organ nadzorczy.
\par 
\par Pismem z dnia 9 wrze\u347?nia 2022 r. Bank (dalej tak\u380?e "skar\u380?\u261?cy kasacyjnie") wni\u243?s\u322? skarg\u281? kasacyjn\u261? od wyroku WSA w Warszawie z dnia 1 lipca 2022 r., zaskar\u380?aj\u261?c go w ca\u322?o\u347?ci. Skar\u380?\u261?cy kasacyjnie zarzuci\u322? zaskar\u380?onemu wyrokowi:
\par 
\par I. Naruszenie prawa materialnego, tj.:
\par 
\par 1) art. 33 ust. 1 i art. 34 ust. 1 RODO w zwi\u261?zku z art. 4 pkt 7 RODO polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni przez WSA w Warszawie i przyj\u281?ciu, \u380?e skar\u380?\u261?cy kasacyjnie by\u322? zobowi\u261?zany do zg\u322?oszenia naruszenia ochrony danych osobowych do Prezesa UODO i zawiadomienia podmiot\u243?w danych o naruszeniu z uwagi na fakt, \u380?e zagubiona dokumentacja zawiera\u322?a dane osobowe klient\u243?w Banku, podczas gdy w chwili zagubienia przesy\u322?ki zawieraj\u261?cej dokumentacj\u281? to firma kurierska sprawowa\u322?a nad ni\u261? w\u322?adztwo i pe\u322?n\u261? kontrol\u281?, wykonuj\u261?c w\u322?asne, ustawowe obowi\u261?zki operatora pocztowego, a w konsekwencji by\u322?a administratorem w rozumieniu art. 4 pkt 7 RODO;
\par 
\par 2) art. 33 ust. 1 RODO w zwi\u261?zku z art. 4 pkt 12 RODO polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni przez WSA w Warszawie i przyj\u281?ciu, \u380?e skar\u380?\u261?cy kasacyjnie mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki zawieraj\u261?cej dane osobowe skar\u380?\u261?cych przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? w sytuacji, gdy zdarzenie to nie stanowi\u322?o naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO, co doprowadzi\u322?o do niezasadnego stwierdzenia, \u380?e organ prawid\u322?owo ustali\u322?, i\u380? skar\u380?\u261?cy kasacyjnie naruszy\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu, a tak\u380?e do niezasadnego stwierdzenia, \u380?e organ prawid\u322?owo na\u322?o\u380?y\u322? na skar\u380?\u261?cego kasacyjnie administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?;
\par 
\par 3) art. 58 ust. 2 lit. "e" i "i" oraz art. 33 ust. 1 RODO, polegaj\u261?ce na ich b\u322?\u281?dnym zastosowaniu przez WSA w Warszawie i przyj\u281?ciu, \u380?e skar\u380?\u261?cy kasacyjnie mia\u322? obowi\u261?zek zg\u322?osi\u263? do Prezesa UODO zgubienie przesy\u322?ki zawieraj\u261?cej dane osobowe skar\u380?\u261?cych przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261? z uwagi na wysokie ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych, w sytuacji, gdy zdarzenie to nawet w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wi\u261?za\u322?o si\u281? z wi\u281?kszym ni\u380? ma\u322?e prawdopodobie\u324?stwem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych na poziomie uzasadniaj\u261?cym takie zg\u322?oszenie do organu, co skar\u380?\u261?cy kasacyjnie oceni\u322? w wyniku przeprowadzenia prawid\u322?owej analizy oceny wagi naruszenia, wykonanej zgodnie z metodyk\u261? Agencji Unii Europejskiej ds. Cyberbezpiecze\u324?stwa, rekomendowan\u261? przez Europejsk\u261? Rad\u281? Ochrony Danych, kt\u243?ra wykaza\u322?a, \u380?e powag\u281? naruszenia nale\u380?y oceni\u263? na poziomie \u347?rednim, a w konsekwencji nie jest konieczne zg\u322?oszenie naruszenia do Prezesa UODO, a tym bardziej zawiadomienie podmiot\u243?w danych, co doprowadzi\u322?o do niezasadnego stwierdzenia przez WSA w Warszawie, \u380?e organ prawid\u322?owo ustali\u322?, i\u380? Bank naruszy\u322? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych do organu i zawiadomienia podmiot\u243?w danych o naruszeniu, a tak\u380?e do niezasadnego przyj\u281?cia, i\u380? organ prawid\u322?owo na\u322?o\u380?y\u322? na skar\u380?\u261?cego kasacyjnie administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?;
\par 
\par 4) art. 58 ust. 2 lit. "e" i "i" RODO w zwi\u261?zku z art. 34 ust. 1 RODO, polegaj\u261?ce na ich b\u322?\u281?dnym zastosowaniu przez WSA w Warszawie i przyj\u281?ciu, \u380?e skar\u380?\u261?cy kasacyjnie mia\u322? obowi\u261?zek dokona\u263? zawiadomienia wobec skar\u380?\u261?cych o zgubieniu przesy\u322?ki zawieraj\u261?cej ich dane osobowe przez wsp\u243?\u322?pracuj\u261?c\u261? z nim firm\u281? kuriersk\u261?, kt\u243?rego nie zrealizowa\u322? w sytuacji, gdy incydent bezpiecze\u324?stwa nie wi\u261?za\u322? si\u281? z wysokim ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych, a wi\u281?c takie zawiadomienie nie by\u322?o konieczne, a pomimo to skar\u380?\u261?cy kasacyjnie powiadomi\u322? osoby, kt\u243?rych dane dotycz\u261? o incydencie bezpiecze\u324?stwa, a tak\u380?e przekaza\u322? im informacje, o kt\u243?rych mowa w art. 34 ust. 2 RODO, co doprowadzi\u322?o do b\u322?\u281?dnego przyj\u281?cia przez S\u261?d, \u380?e organ prawid\u322?owo ustali\u322?, \u380?e skar\u380?\u261?cy kasacyjnie naruszy\u322? obowi\u261?zek zawiadomienia podmiot\u243?w danych, a tak\u380?e stwierdzenia, i\u380? organ prawid\u322?owo na\u322?o\u380?y\u322? na skar\u380?\u261?cego kasacyjnie administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?;
\par 
\par 5) art. 33 ust. 1 RODO i art. 34 ust. 1 RODO, polegaj\u261?ce na ich b\u322?\u281?dnej wyk\u322?adni przez WSA w Warszawie i przyj\u281?ciu za organem, \u380?e w przypadku, gdy naruszeniem ochrony danych osobowych obj\u281?ty jest numer PESEL, zachodzi wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, w sytuacji gdy ka\u380?dorazowe wyst\u261?pienie naruszenia ochrony danych osobowych wymaga odr\u281?bnej analizy ryzyka w kontek\u347?cie zmiennych element\u243?w stanu faktycznego, a w konsekwencji obj\u281?cie numeru PESEL naruszeniem nie stanowi automatycznie o wysokim poziomie ryzyka, co doprowadzi\u322?o do niezasadnego przyj\u281?cia przez WSA w Warszawie, \u380?e organ prawid\u322?owo ustali\u322?, \u380?e skar\u380?\u261?cy kasacyjnie naruszy\u322? te przepisy i prawid\u322?owo na\u322?o\u380?y\u322? na skar\u380?\u261?cego kasacyjnie administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261?;
\par 
\par 6) art. 83 ust. 1 RODO w zwi\u261?zku z art. 83 ust. 2 lit. a-k RODO polegaj\u261?ce na ich b\u322?\u281?dnym zastosowaniu przez WSA w Warszawie i przyj\u281?ciu, \u380?e administracyjna kara pieni\u281?\u380?na na\u322?o\u380?ona przez Prezesa UODO jest skuteczna, proporcjonalna i odstraszaj\u261?ca w indywidualnym przypadku Banku, podczas gdy WSA w Warszawie nie dokona\u322? w\u322?asnej oceny \u380?adnej z przes\u322?anek wskazanych w art. 83 ust. 2 lit. a-k RODO, co doprowadzi\u322?o S\u261?d do b\u322?\u281?dnego przyj\u281?cia za organem, \u380?e administracyjna kara pieni\u281?\u380?na na\u322?o\u380?ona na Bank spe\u322?nia funkcje wskazane w art. 83 ust. 1 RODO, w sytuacji, gdy ich prawid\u322?owe zastosowanie doprowadzi\u322?aby do stwierdzenia, \u380?e na\u322?o\u380?ona kara jest nieproporcjonalna, a tak\u380?e naruszona zosta\u322?a zasada jej zindywidualizowania i odstraszaj\u261?cego charakteru;
\par 
\par II. Naruszenie przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj.: art. 141 \u167? 4 p.p.s.a. poprzez wadliwe uzasadnienie wydanego wyroku, polegaj\u261?ce na ca\u322?kowitym braku odniesienia si\u281? do przes\u322?anek, o kt\u243?rych mowa w art. 83 ust. 2 lit. a-k RODO, co mia\u322?o istotny wp\u322?yw na wynik sprawy, poniewa\u380? pozbawi\u322?o skar\u380?\u261?cego kasacyjnie informacji o przes\u322?ankach rozstrzygni\u281?cia i uniemo\u380?liwi\u322?o kontrol\u281? instancyjn\u261? zaskar\u380?onego wyroku.
\par 
\par Skar\u380?\u261?cy kasacyjnie wni\u243?s\u322? o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci, rozpoznanie skargi oraz uchylenie decyzji Prezesa UODO z dnia 14 pa\u378?dziernika 2021 r. w ca\u322?o\u347?ci (art. 188 p.p.s.a.), wzgl\u281?dnie o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie (art. 185 \u167? 1 p.p.s.a.) \u8211? a tak\u380?e o zas\u261?dzenie na rzecz skar\u380?\u261?cego kasacyjnie koszt\u243?w post\u281?powania, w tym koszt\u243?w zast\u281?pstwa procesowego wed\u322?ug norm przepisanych oraz zwrotu kwoty 51 z\u322? uiszczonej tytu\u322?em op\u322?aty skarbowej od pe\u322?nomocnictwa (art. 203 pkt 1 w zw. z art. 205 \u167? 2 p.p.s.a.). W uzasadnieniu skargi kasacyjnej przedstawiono argumentacj\u281? na poparcie sformu\u322?owanych zarzut\u243?w i wniosk\u243?w. Odpowiadaj\u261?c na skarg\u281? kasacyjn\u261?, Prezes UODO wni\u243?s\u322? o jej oddalenie.
\par 
\par Naczelny S\u261?d Administracyjny zwa\u380?y\u322?, co nast\u281?puje.
\par 
\par Zgodnie z art. 183 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t.j. Dz. U. z 2024 r. poz. 935, dalej p.p.s.a.) Naczelny S\u261?d Administracyjny rozpoznaje spraw\u281? w granicach skargi kasacyjnej, bierze jednak z urz\u281?du pod rozwag\u281? niewa\u380?no\u347?\u263? post\u281?powania. W niniejszej sprawie nie wyst\u281?puj\u261?, enumeratywnie wyliczone w art. 183 \u167? 2 p.p.s.a., przes\u322?anki niewa\u380?no\u347?ci post\u281?powania s\u261?dowoadministracyjnego. Z tego wzgl\u281?du, przy rozpoznaniu sprawy, Naczelny S\u261?d Administracyjny zwi\u261?zany by\u322? granicami skargi kasacyjnej. Granice skargi kasacyjnej wyznaczaj\u261? wskazane w niej podstawy. Zgodnie z art. 174 p.p.s.a. skarg\u281? kasacyjn\u261? mo\u380?na oprze\u263? na nast\u281?puj\u261?cych podstawach: 1) naruszeniu prawa materialnego przez b\u322?\u281?dn\u261? jego wyk\u322?adni\u281? lub niew\u322?a\u347?ciwe zastosowanie, 2) naruszeniu przepis\u243?w post\u281?powania, je\u380?eli uchybienie to mog\u322?o mie\u263? istotny wp\u322?yw na wynik sprawy.
\par 
\par Rozpoznawszy skarg\u281? kasacyjn\u261? z uwzgl\u281?dnieniem powy\u380?szych uwarunkowa\u324?, Naczelny S\u261?d Administracyjny stwierdzi\u322?, \u380?e nie ma ona usprawiedliwionych podstaw i tym samym podlega oddaleniu.
\par 
\par Skarga kasacyjna zosta\u322?a oparta na obu podstawach kasacyjnych, podniesiono w niej bowiem zarzuty naruszenia prawa materialnego, jak i zarzut naruszenia przepis\u243?w post\u281?powania. W takiej sytuacji co do zasady w pierwszej kolejno\u347?ci rozpoznaniu podlega zarzut naruszenia przepis\u243?w post\u281?powania, niemniej jednak w niniejszej sprawie nale\u380?y od tej zasady uczyni\u263? wyj\u261?tek. Wskazywane przez skar\u380?\u261?cego kasacyjnie naruszenie przepis\u243?w post\u281?powania (art. 141 \u167? 4 p.p.s.a.) tak naprawd\u281? jest bowiem zrelatywizowane do cz\u281?\u347?ci zaskar\u380?onego wyroku obejmuj\u261?cej ocen\u281? rozstrzygni\u281?cia organu o administracyjnej karze pieni\u281?\u380?nej, natomiast zarzuty naruszenia prawa materialnego s\u261? dalej id\u261?ce \u8211? w ten sensie, \u380?e zmierzaj\u261? do zakwestionowania oceny S\u261?du I instancji co do ca\u322?o\u347?ci rozstrzygni\u281?cia organu, w tym co do zasadno\u347?ci na\u322?o\u380?enia wspomnianej kary.
\par 
\par Naruszenie prawa materialnego, o kt\u243?rym mowa w art. 174 pkt 1 p.p.s.a., mo\u380?e przejawia\u263? si\u281? w dw\u243?ch postaciach: jako b\u322?\u281?dna wyk\u322?adnia albo jako niew\u322?a\u347?ciwe zastosowanie okre\u347?lonego przepisu prawa. Podnosz\u261?c zarzut naruszenia prawa materialnego przez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281? wykaza\u263? nale\u380?y, \u380?e s\u261?d mylnie zrozumia\u322? stosowany przepis prawa, natomiast uzasadniaj\u261?c zarzut niew\u322?a\u347?ciwego zastosowania przepisu prawa materialnego wykaza\u263? nale\u380?y, \u380?e s\u261?d stosuj\u261?c przepis pope\u322?ni\u322? b\u322?\u261?d subsumcji, czyli \u380?e niew\u322?a\u347?ciwie uzna\u322?, i\u380? stan faktyczny przyj\u281?ty w sprawie nie odpowiada stanowi faktycznemu opisanemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykaza\u263? musi, jak w jego ocenie powinna by\u263? rozumiana norma zawarta w stosowanym przepisie prawa, czyli jaka powinna by\u263? jego prawid\u322?owa wyk\u322?adnia. Ocena zasadno\u347?ci zarzutu naruszenia prawa materialnego mo\u380?e by\u263? dokonana wy\u322?\u261?cznie na podstawie ustalonego w sprawie stanu faktycznego, nie za\u347? na podstawie stanu faktycznego, kt\u243?ry skar\u380?\u261?cy uznaje za prawid\u322?owy (por. wyrok NSA z dnia 13 sierpnia 2013 r., II GSK 717/12; wyrok NSA z dnia 4 lipca 2013 r., I GSK 934/12; wyrok NSA z dnia 15 listopada 2024 r, III OSK 5384/21). Zgodnie z utrwalonymi pogl\u261?dami prezentowanymi w orzecznictwie Naczelnego S\u261?du Administracyjnego niedopuszczalne jest zast\u281?powanie zarzutu naruszenia przepis\u243?w post\u281?powania zarzutem naruszenia prawa materialnego i za jego pomoc\u261? kwestionowanie ustale\u324? faktycznych. Je\u380?eli strona skar\u380?\u261?ca kasacyjnie uwa\u380?a, \u380?e ustalenia faktyczne s\u261? b\u322?\u281?dne, to zarzut naruszenia prawa materialnego poprzez b\u322?\u281?dne zastosowanie (czy niezastosowanie) jest co najmniej przedwczesny, za\u347? zarzut naruszenia prawa przez b\u322?\u281?dn\u261? jego wyk\u322?adni\u281? \u8211? niezasadny. Zarzut naruszenia prawa materialnego nie mo\u380?e opiera\u263? si\u281? na wadliwym (kwestionowanym przez stron\u281?) ustaleniu faktu (zob. wyrok NSA z dnia 13 marca 2013 r., II GSK 2391/11; wyrok NSA z dnia 8 listopada 2024 r., III OSK 5182/21).
\par 
\par Ocena zasadno\u347?ci zarzutu naruszenia prawa materialnego przez b\u322?\u281?dn\u261? wyk\u322?adni\u281? z istoty rzeczy dokonywana jest w p\u322?aszczy\u378?nie normatywnej, tote\u380? zasadniczo licz\u261? si\u281? tylko argumenty nawi\u261?zuj\u261?ce do brzmienia odno\u347?nych przepis\u243?w. Ma ona w pewnym sensie charakter abstrakcyjny i jest w du\u380?ej mierze autonomiczna wobec okoliczno\u347?ci faktycznych konkretnej sprawy. Te okoliczno\u347?ci faktyczne mog\u261? mie\u263? znaczenie \u8211? cho\u263? w ka\u380?dym przypadku to znaczenie jest inne \u8211? przy ocenie zasadno\u347?ci zarzutu naruszenia przepis\u243?w post\u281?powania oraz przez ocenie zasadno\u347?ci zarzutu naruszenia prawa materialnego przez niew\u322?a\u347?ciwe zastosowanie. Z kolei gdy idzie o zarzut niew\u322?a\u347?ciwego zastosowania prawa materialnego, to co do zasady nie mo\u380?e on odnie\u347?\u263? skutku, je\u380?eli nie zakwestionowano r\u243?wnocze\u347?nie \u8211? za pomoc\u261? adekwatnego zarzutu naruszenia przepis\u243?w post\u281?powania \u8211? ustale\u324? co do stanu faktycznego. Wynika to st\u261?d, \u380?e b\u322?\u281?dne zastosowanie (niezastosowanie) przepis\u243?w materialnoprawnych zasadniczo pozostaje w \u347?cis\u322?ym zwi\u261?zku z ustaleniami stanu faktycznego sprawy i mo\u380?e by\u263? wykazane pod warunkiem wcze\u347?niejszego obalenia tych ustale\u324? czy te\u380? dowiedzenia ich wadliwo\u347?ci (por. wyrok NSA z dnia 22 listopada 2024 r., III OSK 1027/23). Zarzut niew\u322?a\u347?ciwego zastosowania prawa materialnego bez skutecznego obalenia ustale\u324? faktycznych mo\u380?e okaza\u263? si\u281? zasadny jedynie wyj\u261?tkowo, gdy nieprawid\u322?owo\u347?\u263? tkwi w samej subsumpcji stanu faktycznego pod hipotez\u281? stosowanej normy (por. wyrok NSA z dnia 12 lipca 2024 r., III OSK 2638/23).
\par 
\par W niniejszej sprawie zreferowane prawid\u322?owo\u347?ci maj\u261? istotne znaczenie, bowiem zarzuty skargi kasacyjnej dotycz\u261?ce prawa materialnego tak naprawd\u281? w du\u380?ej mierze dotycz\u261? ustale\u324? faktycznych, co rzutuje na ich skuteczno\u347?\u263?. Normy z art. 33 ust. 1 i art. 34 ust. 1 RODO w cz\u281?\u347?ci dyspozytywnej przewiduj\u261?, odpowiednio, obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu i obowi\u261?zek zawiadomienia osoby, kt\u243?rej dane dotycz\u261?, o naruszeniu ochrony danych osobowych. Z kolei stwierdzenie istnienia, na gruncie konkretnej sprawy, stan\u243?w faktycznych opisanych w hipotezach powo\u322?anych norm wymaga poczynienia ustale\u324? co do tego, kto jest administratorem danych; czy dosz\u322?o do naruszenia ochrony danych osobowych; czy zachodzi wi\u281?ksze ni\u380? ma\u322?e prawdopodobie\u324?stwo, by naruszenie ochrony danych osobowych skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych; czy naruszenie ochrony danych osobowych mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Ustalenia te \u8211? a do nich nawi\u261?zuje gros sformu\u322?owanych w skardze zarzut\u243?w naruszenia prawa materialnego \u8211? s\u261? w istocie ustaleniami faktycznymi. Podstaw\u261? ich oceny w post\u281?powaniu kasacyjnym co do zasady mog\u322?yby zatem by\u263? stosowne zarzuty naruszenia przepis\u243?w post\u281?powania.
\par 
\par Z zastrze\u380?eniem powy\u380?szego, odnosz\u261?c si\u281? do zarzutu naruszenia art. 33 ust. 1 i art. 34 ust. 1 RODO w zwi\u261?zku z art. 4 pkt 7 RODO, wypada zauwa\u380?y\u263?, \u380?e w my\u347?l tego ostatniego przepisu na u\u380?ytek RODO "administrator" oznacza osob\u281? fizyczn\u261? lub prawn\u261?, organ publiczny, jednostk\u281? lub inny podmiot, kt\u243?ry samodzielnie lub wsp\u243?lnie z innymi ustala cele i sposoby przetwarzania danych osobowych; je\u380?eli cele i sposoby takiego przetwarzania s\u261? okre\u347?lone w prawie Unii lub w prawie pa\u324?stwa cz\u322?onkowskiego, to r\u243?wnie\u380? w prawie Unii lub w prawie pa\u324?stwa cz\u322?onkowskiego mo\u380?e zosta\u263? wyznaczony administrator lub mog\u261? zosta\u263? okre\u347?lone konkretne kryteria jego wyznaczania. W \u347?wietle tej definicji dla wskazania, kto jest administratorem, kluczowe jest stwierdzenie, kto decyduje o celu i sposobach przetwarzania danych \u8211? kto ustala cele i sposoby przetwarzania danych (zob. P. Fajgielski, Og\u243?lne rozporz\u261?dzenia o ochronie danych, Ustawa o ochronie danych osobowych \u8211? Komentarz, Warszawa 2025, s. 133). "Przy ustalaniu, kt\u243?remu podmiotowi przypisany jest status administratora, konieczne jest okre\u347?lenie, kt\u243?ry podmiot podejmuje pierwotn\u261?, inicjaln\u261? decyzj\u281? o zastosowaniu okre\u347?lonego mechanizmu przetwarzania (...). Fundamentalna jest wi\u281?c ocena, kt\u243?ry podmiot z uczestnicz\u261?cych w przetwarzaniu ma inicjaln\u261? moc decyzyjn\u261?, a zatem od uznania kt\u243?rego zale\u380?y dalsze anga\u380?owanie innego podmiotu w przetwarzanie" (K. Witkowska-Nowakowska, w: E. Bielak-Jomaa, D. Lubasz (red.), RODO. Og\u243?lne rozporz\u261?dzenie o ochronie danych \u8211? Komentarz, Warszawa 2018, s. 217-218). "Poj\u281?cie administratora nale\u380?y wi\u281?c wyk\u322?ada\u263? w spos\u243?b funkcjonalny, tak by przypisywanie obowi\u261?zk\u243?w i odpowiedzialno\u347?ci nast\u281?powa\u322?o tam, gdzie istnieje faktyczny, a nie np. jedynie formalny wp\u322?yw na ustalanie cel\u243?w i sposob\u243?w przetwarzania" (K. Witkowska-Nowakowska, tam\u380?e, s. 216).
\par 
\par W ocenie Naczelnego S\u261?du Administracyjnego, S\u261?d I instancji prawid\u322?owo przyj\u261?\u322?, \u380?e administratorem danych zawartych w dokumentacji bankowej, znajduj\u261?cej si\u281? w zagubionej przesy\u322?ce, pozostaje Bank, gdy\u380? to on okre\u347?li\u322? cele i sposoby ich przetwarzania. Operator pocztowy (firma kurierska), kt\u243?ry nie ma wiedzy ani dost\u281?pu do zawarto\u347?ci przesy\u322?ki, mo\u380?e mie\u263? status administratora wy\u322?\u261?cznie w odniesieniu do danych osobowych nadawcy i odbiorcy. Operator pocztowy, w ramach podejmowanych przeze\u324? czynno\u347?ci (abstrahuj\u261?c od sytuacji atypowych), nie okre\u347?la cel\u243?w ani sposob\u243?w przetwarzania danych zawartych w dokumentacji bankowej. Poczynione w tym kontek\u347?cie przez S\u261?d I instancji spostrze\u380?enie, \u380?e to Bank, jako podmiot dysponuj\u261?cy wiedz\u261? o zawarto\u347?ci przesy\u322?ki, mo\u380?e dokona\u263? oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych \u8211? stanowi tu jedynie dodatkowy, notabene trafny, argument natury funkcjonalnej i nie \u347?wiadczy o b\u322?\u281?dnej wyk\u322?adni art. 4 pkt 7 RODO, a w szczeg\u243?lno\u347?ci nie stanowi wykroczenia "poza legalne wskaz\u243?wki ustalania roli danego podmiotu jako administratora". Nie mo\u380?na natomiast zgodzi\u263? si\u281? ze stanowiskiem skar\u380?\u261?cego kasacyjnie, jakoby sprawowanie "w\u322?adztwa" nad przesy\u322?k\u261? tudzie\u380? wykonywanie typowych obowi\u261?zk\u243?w operatora pocztowego by\u322?o \u8211? niejako w za\u322?o\u380?eniu \u8211? to\u380?same z ustalaniem cel\u243?w i sposob\u243?w przetwarzania danych osobowych, kt\u243?re potencjalnie mog\u261? si\u281? w tej przesy\u322?ce znajdowa\u263?. Z kolei twierdzenia skar\u380?\u261?cego kasacyjnie wskazuj\u261?ce jego umow\u281? z firm\u261? kuriersk\u261? oraz prawdopodobn\u261? wiedz\u281? tej firmy, \u380?e w przesy\u322?ce mo\u380?e znajdowa\u263? si\u281? dokumentacja bankowa, wykraczaj\u261? poza poczynione przez S\u261?d I instancji ustalenia faktyczne i, przede wszystkim, wymykaj\u261? si\u281? spod oceny w ramach badania zasadno\u347?ci zarzutu b\u322?\u281?dnej wyk\u322?adni prawa materialnego. Omawiany zarzut nie m\u243?g\u322? zatem odnie\u347?\u263? zamierzonego skutku.
\par 
\par Zgodnie z powo\u322?anym w drugim zarzucie skargi kasacyjnej art. 4 pkt 12 RODO, na u\u380?ytek rozporz\u261?dzenia "naruszenie ochrony danych osobowych" oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych. Zarzut, o kt\u243?rym mowa, w istocie sprowadza si\u281? do twierdzenia, \u380?e przedmiotowe zdarzenie \u8211? wbrew stanowisku S\u261?du I instancji \u8211? nie stanowi\u322?o naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. W uzasadnieniu zarzutu, o kt\u243?rym mowa, skar\u380?\u261?cy kasacyjnie akcentuje w szczeg\u243?lno\u347?ci to, \u380?e z punktu widzenia art. 4 pkt 12 RODO liczy si\u281? zaistnienie opisanych w nim skutk\u243?w (nie wystarcza samo ryzyko ich zaistnienia), i podnosi, \u380?e "w dacie wydania decyzji przez organ wyst\u261?pienie kt\u243?regokolwiek z tych skutk\u243?w nie zosta\u322?o stwierdzone". W ocenie Naczelnego S\u261?du Administracyjnego zarzut ten jest niezasadny, bowiem S\u261?d I instancji w istocie powi\u261?za\u322? naruszenie bezpiecze\u324?stwa z okre\u347?lonym, odpowiadaj\u261?cym definicji z art. 4 pkt 12 RODO, skutkiem i skutek ten zidentyfikowa\u322?. Jak wskaza\u322? S\u261?d I instancji: "Zagini\u281?cie przesy\u322?ki, zwieraj\u261?cej dokumentacj\u281? klient\u243?w Banku (...), jest zdarzeniem faktycznym poci\u261?gaj\u261?cym za sob\u261? okre\u347?lone skutki. Tym skutkiem jest utrata kontroli nad danymi osobowymi, kt\u243?re si\u281? w niej znajdowa\u322?y, z czym zwi\u261?zane jest konkretne ryzyko dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?".
\par 
\par Odnosz\u261?c si\u281? do trzeciego zarzutu skargi kasacyjnej, tj. zarzutu naruszenia art. 58 ust. 2 lit. "e" i "i" oraz art. 33 ust. 1 RODO, polegaj\u261?cego na ich b\u322?\u281?dnym zastosowaniu \u8211? wypada ponownie podkre\u347?li\u263?, nawi\u261?zuj\u261?c do uwag poczynionych na wst\u281?pie, \u380?e zarzutem naruszenia prawa materialnego nie mo\u380?na kwestionowa\u263? ustale\u324? faktycznych S\u261?du I instancji, za\u347? zarzut naruszenia prawa materialnego przez niew\u322?a\u347?ciwe zastosowanie \u8211? je\u380?eli nie zakwestionowano jednocze\u347?nie ustale\u324? faktycznych S\u261?du I instancji za pomoc\u261? zarzut\u243?w naruszenia przepis\u243?w post\u281?powania \u8211? mo\u380?e okaza\u263? si\u281? skuteczny co do zasady tylko w przypadku wykazania wadliwej subsumpcji. Tymczasem zarzut skargi kasacyjnej, o kt\u243?rym mowa, zasadza si\u281? na twierdzeniu, \u380?e przedmiotowe zdarzenie, inaczej ni\u380? przyj\u261?\u322? S\u261?d I instancji, "nie wi\u261?za\u322?o si\u281? z wi\u281?kszym ni\u380? ma\u322?e prawdopodobie\u324?stwem wyst\u261?pienia ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych" (w tym zakresie skar\u380?\u261?cy kasacyjnie powo\u322?a\u322? si\u281? nawet na w\u322?asne ustalenia poczynione w wyniku analizy wykonanej zgodnie z metodyk\u261? Agencji Unii Europejskiej ds. Cyberbezpiecze\u324?stwa) \u8211? a zatem zmierza wprost do podwa\u380?enia relewantnych ustale\u324? faktycznych. Z tego wzgl\u281?du jedynie na marginesie wskaza\u263? nale\u380?y, \u380?e \u8211? zdaniem Naczelnego S\u261?du Administracyjnego \u8211? nie ma podstaw do kwestionowania stanowiska S\u261?du I instancji o zaistnieniu przes\u322?anki z art. 33 ust. 1 RODO, nawet przy uwzgl\u281?dnieniu za\u322?o\u380?enia, \u380?e liczy si\u281? zar\u243?wno prawdopodobie\u324?stwo, jak i waga zagro\u380?enia.
\par 
\par Czwarty zarzut skargi kasacyjnej \u8211? w zakresie, w jakim dotyczy oceny przez S\u261?d I instancji zaistnienia przes\u322?anki z art. 34 ust. 1 RODO ("naruszenie ochrony danych osobowych mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych") \u8211? jest skonstruowany podobnie jak zarzut trzeci, tote\u380? sformu\u322?owane wy\u380?ej uwagi odnosz\u261? si\u281? r\u243?wnie\u380? do niego, co determinuje uznanie go za nieskuteczny. Z tym zastrze\u380?eniem, wskaza\u263? nale\u380?y, \u380?e zdaniem Naczelnego S\u261?du Administracyjnego prawid\u322?owa jest ocena organu i S\u261?du I instancji, w my\u347?l kt\u243?rej naruszenie danych osobowych polegaj\u261?ce na zagubieniu dokumentacji bankowej obejmuj\u261?cej m.in.: pe\u322?nomocnictwo, umow\u281? konta oszcz\u281?dno\u347?ciowego, umow\u281? rachunk\u243?w bankowych oraz karty debetowej, umow\u281? ramow\u261? o \u347?wiadczenie us\u322?ug finansowych, potwierdzenie zmian do umowy rachunku bankowego, ankiet\u281? inwestycyjn\u261?, wynik ankiety inwestycyjnej \u8211? i zawieraj\u261?cej dane osobowe klient\u243?w Banku, w tym: imi\u281?, nazwisko, PESEL, adres zameldowania, numery rachunk\u243?w bankowych, numer CIF \u8211? mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Na aprobat\u281? zas\u322?uguje przy tym argumentacja organu i S\u261?du I instancji dotycz\u261?ca znaczenia numeru PESEL, kt\u243?rego pozyskanie przez osoby trzecie \u8211? zw\u322?aszcza razem z innymi danymi \u8211? u\u322?atwia kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci. W tym miejscu trzeba stwierdzi\u263?, \u380?e niezasadny jest te\u380? pi\u261?ty zarzut skargi kasacyjnej, w kt\u243?rym skar\u380?\u261?cy kasacyjnie wspomnian\u261? argumentacj\u281? kwestionuje, upatruj\u261?c w niej naruszania art. 33 ust. 1 i art. 34 ust. 1 RODO, polegaj\u261?cego na b\u322?\u281?dnej wyk\u322?adni tych przepis\u243?w. Wbrew odno\u347?nemu zarzutowi, S\u261?d I instancji nie uzna\u322?, \u380?e obj\u281?cie naruszeniem numeru PESEL stanowi automatycznie o wysokim poziomie ryzyka, lecz dokona\u322? oceny w tej mierze z uwzgl\u281?dnieniem og\u243?\u322?u okoliczno\u347?ci przedmiotowej sprawy.
\par 
\par Zgodnie z art. 34 ust. 2 RODO, zawiadomienie osoby, kt\u243?rej dane dotycz\u261?, o naruszeniu ochrony danych osobowych powinno jasnym i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych oraz zawiera\u263? przynajmniej informacje i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b), c) i d). S\u261?d I instancji ustali\u322?, \u380?e informacja przes\u322?ana klientom przez Bank nie zawiera\u322?a element\u243?w, kt\u243?rych mowa w powo\u322?anym przepisie. Jak zauwa\u380?y\u322? S\u261?d I instancji, "informacja przes\u322?ana do klient\u243?w Banku zawiera\u322?a jedynie bardzo og\u243?lny opis charakteru naruszenia (bez wskazania kategorii danych obj\u281?tych naruszeniem jako istotnego elementu opisu charakteru naruszenia) oraz lakoniczny opis \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w, kt\u243?ry nie pozwala\u322? osobom, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem, na rzeteln\u261? ocen\u281? zaistnia\u322?ej sytuacji w kontek\u347?cie zagro\u380?e\u324? dla ich danych osobowych. W ww. pi\u347?mie nie umieszczono opisu mo\u380?liwych konsekwencji, z jakimi wi\u261?za\u263? si\u281? mo\u380?e przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji. Brak w niej r\u243?wnie\u380? odniesienia si\u281? do \u347?rodk\u243?w bezpiecze\u324?stwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wyst\u261?pienia naruszenia". S\u261?d I instancji skonkludowa\u322?, i\u380? "Prezes UODO prawid\u322?owo ustali\u322?, \u380?e Bank (...) nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO". Przytoczone ustalenia jawi\u261? si\u281? jako prawid\u322?owe, a ponadto sytuuj\u261? si\u281? w sferze ustale\u324? faktycznych \u8211? co sprawia, \u380?e zrelatywizowany do nich zarzut naruszenia prawa materialnego (drugi aspekt czwartego zarzutu skargi kasacyjnej) nie m\u243?g\u322? odnie\u347?\u263? zamierzonego skutku (por. np. wyrok NSA z dnia 13 grudnia 2024 r., III OSK 2115/24).
\par 
\par Dwa ostatnie zarzuty skargi kasacyjnej \u8211? sz\u243?sty i si\u243?dmy \u8211? dotycz\u261? na\u322?o\u380?onej na skar\u380?\u261?cego kasacyjnie administracyjnej kary pieni\u281?\u380?nej. Gdy idzie o te zarzuty, to w pierwszej kolejno\u347?ci wypada odnie\u347?\u263? si\u281? do zarzutu naruszenia przepis\u243?w post\u281?powania, tj. art. 141 \u167? 4 p.p.s.a. "poprzez wadliwe uzasadnienie wyroku, polegaj\u261?ce na ca\u322?kowitym braku odniesienia si\u281? do przes\u322?anek, o kt\u243?rych mowa w art. 83 ust. 2 lit. a-k RODO". Art. 141 \u167? 4 p.p.s.a. traktuje o elementach uzasadnienia wyroku \u8211? stanowi, \u380?e uzasadnienie wyroku powinno zawiera\u263? zwi\u281?z\u322?e przedstawienie stanu sprawy, zarzut\u243?w podniesionych w skardze, stanowisk pozosta\u322?ych stron, podstaw\u281? prawn\u261? rozstrzygni\u281?cia oraz jej wyja\u347?nienie. Je\u380?eli w wyniku uwzgl\u281?dnienia skargi sprawa ma by\u263? ponownie rozpatrzona przez organ administracji, uzasadnienie powinno ponadto zawiera\u263? wskazania co do dalszego post\u281?powania. Zarzut naruszenia art. 141 \u167? 4 p.p.s.a. mo\u380?e by\u263? skutecznie postawiony w dw\u243?ch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich element\u243?w, wymienionych w tym przepisie, i gdy w ramach przedstawienia stanu sprawy wojew\u243?dzki s\u261?d administracyjny nie wska\u380?e, jaki i dlaczego stan faktyczny przyj\u261?\u322? za podstaw\u281? orzekania. Naruszenie to musi by\u263? przy tym na tyle istotne, aby mog\u322?o mie\u263? wp\u322?yw na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za pomoc\u261? odno\u347?nego zarzutu nie mo\u380?na skutecznie zwalcza\u263? ustale\u324? s\u261?du co do stanu faktycznego ani kwestionowa\u263? stanowiska s\u261?du co do wyk\u322?adni b\u261?d\u378? zastosowania prawa materialnego. W ramach rozpatrywania zarzutu naruszenia art. 141 \u167? 4 p.p.s.a. Naczelny S\u261?d Administracyjny zobowi\u261?zany jest jedynie do kontroli zgodno\u347?ci uzasadnienia zaskar\u380?onego wyroku z wymogami wynikaj\u261?cymi ze statuowanej tym przepisem normy prawnej. Wadliwo\u347?\u263? uzasadnienia orzeczenia mo\u380?e stanowi\u263? przedmiot skutecznego zarzutu kasacyjnego z art. 141 \u167? 4 p.p.s.a. w sytuacji, gdy sporz\u261?dzone jest ono w taki spos\u243?b, \u380?e niemo\u380?liwa jest kontrola instancyjna zaskar\u380?onego wyroku (por. wyrok NSA z dnia 27 wrze\u347?nia 2024 r., III OSK 2850/22). Zdaniem Naczelnego S\u261?du Administracyjnego uzasadnienie zaskar\u380?onego wyroku \u8211? tak\u380?e w cz\u281?\u347?ci odnosz\u261?cej si\u281? do na\u322?o\u380?enia i wysoko\u347?ci kary \u8211? spe\u322?nia wymogi okre\u347?lone w art. 141 \u167? 4 p.p.s.a., wyja\u347?nia motywy podj\u281?tego przez S\u261?d I instancji rozstrzygni\u281?cia i tym samym sprawia, \u380?e poddaje si\u281? ono kontroli instancyjnej. S\u261?d I instancji najpierw zreferowa\u322? argumentacj\u281? organu w odno\u347?nym zakresie (s. 13-15 uzasadnienia wyroku), a nast\u281?pnie dokona\u322? jej oceny (s. 32 uzasadnienia wyroku).
\par 
\par Naczelny S\u261?d Administracyjny podziela ocen\u281? S\u261?du I instancji, wedle kt\u243?rej samo na\u322?o\u380?enie i wysoko\u347?\u263? kary pieni\u281?\u380?nej zosta\u322?y przez organ wystarczaj\u261?co uzasadnione z uwzgl\u281?dnieniem przes\u322?anek, o kt\u243?rych mowa w art. 83 ust. 2 lit. a-k RODO. Organ wskaza\u322? okoliczno\u347?ci wp\u322?ywaj\u261?ce na zaostrzenie kary, jak i te, kt\u243?re przemawia\u322?y za jej z\u322?agodzeniem. Rozstrzygni\u281?cie nie nosi zatem znamion dowolno\u347?ci. Na\u322?o\u380?ona kara na tle okoliczno\u347?ci przedmiotowej sprawy jawi si\u281? jako skuteczna, proporcjonalna i odstraszaj\u261?ca. Zarzut naruszenia art. 83 ust. 1 RODO w zwi\u261?zku z art. 83 ust. 2 lit. a-k RODO, polegaj\u261?cego na ich b\u322?\u281?dnym zastosowaniu \u8211? nie zas\u322?ugiwa\u322? zatem na uwzgl\u281?dnienie.
\par 
\par Z tych przyczyn Naczelny S\u261?d Administracyjny, na podstawie art. 184 p.p.s.a., oddali\u322? skarg\u281? kasacyjn\u261?. O kosztach post\u281?powania kasacyjnego orzeczono podstawie art. 204 pkt 1 p.p.s.a.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}