Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Tamara Dziełakowska Sędziowie: sędzia NSA Zbigniew Ślusarczyk sędzia del. WSA Tadeusz Kiełkowski (sprawozdawca) Protokolant: asystent sędziego Adam Płusa po rozpoznaniu w dniu 9 kwietnia 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skarg kasacyjnych Prezesa Urzędu Ochrony Danych Osobowych i [...] Sp. z o.o. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 8 lutego 2023 r. sygn. akt II SA/Wa 1655/22 w sprawie ze skargi J. K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 lipca 2022 r. nr DS.523.2004.2021.FT.AP.177172 w przedmiocie przetwarzania danych osobowych oddala skargi kasacyjne

Wojewódzki Sąd Administracyjny w Warszawie (dalej "WSA w Warszawie" lub "Sąd I instancji") wyrokiem z dnia 8 lutego 2023 r., sygn. akt II SA/Wa 1655/2, po rozpoznaniu sprawy ze skargi J. K. (dalej "skarżący") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej "Prezes UODO") z dnia 15 lipca 2022 r., nr DS.523.2004.2021.FT.AP.177172, w przedmiocie przetwarzania danych osobowych: 1. uchylił zaskarżoną decyzję w zakresie punktów 1 i 2; 2. oddalił skargę w pozostałym zakresie; 3. zasądził od Prezesa UODO na rzecz skarżącego kwotę 200 zł tytułem zwrotu kosztów postępowania.

Powyższy wyrok, od którego zostały złożone skargi kasacyjne, zapadł w następujących okolicznościach faktycznych i prawnych.

Prezes UODO decyzją z dnia 15 lipca 2022 r., nr DS.523.2004.2021.FT.AP., na podstawie art. 104 § 1 oraz 105 § 1 k.p.a. zw. z art. 7 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz. U. z 2019 r. poz. 1781, dalej "ustawa z 2018 r." lub "u.o.d.o. z 2018 r.") oraz na podstawie art. 6 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej "RODO" lub "rozporządzenie nr 2016/679"), po przeprowadzeniu postępowania administracyjnego w sprawie skargi skarżącego na nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. Sp. z o.o. z siedzibą w W. przy ul. [...] (dalej "Spółka"), polegające na przetwarzaniu jego danych osobowych bez podstawy prawnej, niespełnieniu wobec niego obowiązku informacyjnego, nieuwzględnieniu sprzeciwu wobec przetwarzania jego danych osobowych oraz udostępnieniu jego danych osobowych na rzecz podmiotów nieuprawnionych: 1) udzielił Spółce upomnienia za naruszenie art. 6 ust. 1 RODO, polegające na udostępnianiu osobie nieuprawnionej posługującej się wskazanym w decyzji adresem e-mail w okresie od 25 maja 2018 r. do 21 maja 2020 r. danych osobowych skarżącego w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na jego rzecz usługach; 2) umorzył postępowanie w zakresie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego polegające na udostępnianiu przez Spółkę osobie nieuprawnionej posługującej się wskazanym w decyzji adresem e-mail w okresie od października 2016 r. do 24 maja 2018 r. danych osobowych skarżącego w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na jego rzecz usługach; 3) umorzył postępowanie w zakresie dotyczącym udostępnienia danych osobowych skarżącego zawartych w billingach w okresie od października 2016 r. do 21 maja 2020 r. na rzecz osoby nieuprawnionej; 4) w pozostałym zakresie odmówił uwzględnienia wniosku.

W uzasadnieniu decyzji Prezes UODO przedstawił następujące ustalenia faktyczne: 1. Skarżący zarzucił Spółce przetwarzanie jego danych osobowych bez podstawy prawnej, niespełnienie obowiązku informacyjnego, nieuwzględnienie sprzeciwu wnoszonego do Spółki w rozmowach z konsultantami i udostępnienie jego danych osobowych podmiotom nieuprawnionym. Skarżący wskazał, że Spółka udostępniała i przetwarzała jego dane osobowe bez podstawy prawnej przez okres 4 lat. Skarżący wskazał, że oprócz tego, iż kwestionuje udostępnienie jego danych osobowych innemu podmiotowi oczekuje również wyegzekwowania od Spółki przekazania mu listy podmiotów, które bezprawnie otrzymywały jego dane osobowe i billingi połączeń numerów telefonów zarejestrowanych od 2016 r. na koncie skarżącego. Z załączników skargi wynika, że Spółka w piśmie z dnia 18 listopada 2020 r. w ramach rekompensaty za nieprawidłowości w procesie przetwarzania danych osobowych skarżącego zaproponowała mu anulowanie naliczonych opłat abonamentowych za trzy pełne okresy rozliczeniowe, o łącznej wartości 120,00 zł brutto; 2. Spółka wyjaśniła, że pozyskała dane osobowe skarżącego bezpośrednio od niego w związku z zawarciem przez niego umów o świadczenie usług telekomunikacyjnych. Umowy te skarżący zawarł jako osoba fizyczna oraz osoba fizyczna prowadząca jednoosobową działalność gospodarczą. Spółka wskazała, że podstawę prawną przetwarzania danych osobowych skarżącego stanowił w szczególności art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.), a od 25 maja 2018 r. art. 6 ust. 1 lit. b RODO. Spółka załączyła kopię zawartych ze skarżącym umów wraz z przekazanymi skarżącemu informacjami o przetwarzaniu danych osobowych; 3. Spółka wskazała, że przetwarza dane osobowe skarżącego na podstawie art. 6 ust. 1 lit. c RODO z związku z realizacją obowiązków nałożonych przez Spółkę na podstawie ustawy z dnia 16 lipca 2004 r. Prawo Telekomunikacyjne (t.j. Dz. U. z 2019 r. poz. 2460) w zakresie w niej określonym, w szczególności w art. 161 w zw. z art. 60b, niezbędnych do zawarcia i realizacji umowy oraz ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2020 r. poz. 1740 ze zm.). Ponadto Spółka wskazała, że przetwarza dane skarżącego w związku z zawartymi z nim aktywnymi umowami o świadczenie usług telekomunikacyjnych na podstawie art. 6 ust. 1 lit. b RODO, dla celów dowodowych oraz obrony roszczeń administratora w związku z prowadzoną korespondencją ze skarżącym, a także postępowaniem prowadzonym przez Urząd Ochrony Danych Osobowych, na podstawie art. 6 ust. 1 lit. f RODO; 4. Spółka wyjaśniła, że w dniu 3 października 2016 r. podczas aktualizacji danych w trakcie rozmowy telefonicznej, konsultant Działu Windykacji Należności Spółki wprowadził na jednym z kont skarżącego (utworzonego dla klienta indywidualnego) niewłaściwy adres poczty elektronicznej, zamiast podanego przez skarżącego adresu wskazanego w decyzji wpisano adres bez cyfr. W konsekwencji, faktury VAT za świadczone usługi telekomunikacyjne bez rachunków szczegółowych (billingów) wystawione dla tego jednego konta abonenckiego od października 2016 r. do maja 2020 r. były wysyłane na adres e-mail nienależący do skarżącego. Faktury VAT zawierały dane osobowe skarżącego w zakresie: imię, nazwisko, adres, numer telefonu, numer konta abonenckiego przypisanego do skarżącego w Spółce, numery i kwoty faktur VAT, a ponadto również numer konta bankowego Spółki do wpłat. Jak wynika z przedłożonych przez Spółkę przykładowych faktur VAT przekazanych osobie nieuprawnionej zawierały one również informację o usługach Spółki, z których korzystał skarżący. Spółka, w dniu 22 maja 2020 r., po powzięciu informacji od skarżącego o wysyłce faktur VAT na inny adres, poinformowała Prezesa Urzędu Ochrony Danych Osobowych o zdarzeniu poprzez stosowne zgłoszenie naruszenia ochrony danych osobowych. W zgłoszeniu naruszenia ochrony danych osobowych jako datę stwierdzenia i zakończenia naruszenia Spółka wskazała 21 maja 2020 r.; 5. W dniu 22 maja 2020 r., po powzięciu informacji od skarżącego o wysyłce faktur VAT na nieprawidłowy adres, Spółka poinformowała Prezesa UODO o zdarzeniu poprzez stosowne zgłoszenie naruszenia ochrony danych osobowych. Osoba, do której należy omyłkowo wprowadzony adres e-mail, w dniu 29 maja 2020 r. w odpowiedzi na prośbę Spółki o usunięcie wiadomości dotyczących innej osoby oraz niewykorzystywanie danych tej osoby, potwierdziła usunięcie wszystkich wiadomości e-mail, które dotyczyły skarżącego. W osobnej korespondencji, wysłanej na prawidłowy adres e-mail skarżącego, Spółka szczegółowo wyjaśniła, że zdarzenie dotyczyło wyłącznie jednego konta abonenckiego skarżącego oraz potwierdziła usunięcie adresu e-mail należącego do innej osoby z konta abonenckiego skarżącego. Dodatkowo Spółka przedstawiła skarżącemu propozycję anulowania opłat abonamentowych za trzy okresy rozliczeniowe dla numeru telefonu, który został ujawniony innej osobie; 6. W związku z nieuregulowaniem przez skarżącego zobowiązań z czterech kont abonenckich, umowy o świadczenie usług telekomunikacyjnych dotyczące tych kont zostały rozwiązane ze skarżącym przez Spółkę. Z powodu nieskutecznej windykacji, w tym brakiem spłaty długów z dwóch kont abonenckich wobec Spółki przez skarżącego, wierzytelności w wysokości 2552,15 zł oraz 2887,27 zł zostały na podstawie art. 509 § 1 k.c. przelane w dniu 14 grudnia 2018 r. na rzecz Raport Niestandaryzowany Sekurytyzacyjny Fundusz Inwestycyjny Zamknięty. Wraz z wierzytelnościami przeszły na nabywcę (odrębnego administratora danych) wszelkie związane z nimi prawa, w szczególności roszczenia o zaległe odsetki; 7. W wyjaśnieniach Spółka wskazała, że skarżący nie zwracał się do Spółki z wnioskiem o usunięcie jego danych osobowych; 8. Skarżący zarzucił, że Spółka wraz z fakturami VAT udostępniała osobie nieuprawnionej także billingi. Skarżący załączył fakturę VAT wraz z billingiem wysłaną na podany w decyzji adres; 9. Spółka wyjaśniła, że o wysyłce faktur VAT na nieprawidłowy adres e-mail dowiedziała się od skarżącego, który skierował do Spółki pismo z dnia 11 maja 2020 r. Spółka odpowiedziała skarżącemu pismem z dnia 22 maja 2020 r. W terminach wcześniejszych ani późniejszych nie odnotowano w Spółce zgłoszeń ani reklamacji dotyczących kierowania korespondencji na adres poczty elektronicznej nienależący do skarżącego, ani od skarżącego, ani od osoby, na której adres e-mail była kierowana korespondencja. Spółka wskazała, że jeden z numerów telefonów wraz z ratami za sprzęt w dniu 24 stycznia 2020 r. został przeniesiony na nowe konto abonenckie. Wprowadzone dane teleadresowe skarżącego na nowym koncie były tożsame z danymi z poprzedniego konta abonenckiego i z zawartą ze skarżącym umową o świadczenie usług telekomunikacyjnych. Spółka wskazała, że kierowała korespondencję do skarżącego także na inny wskazany w decyzji adres skarżącego w Krakowie, gdyż taki adres został wskazany na innych kontach abonenckich przypisanych do skarżącego, z tym, że oba adresy odnoszą się do tego samego budynku.

Prezes UODO wskazał dalej, że Spółka, przetwarzając dane osobowe skarżącego w związku z obowiązującymi umowami, legitymuje się przesłanką uregulowaną w art. 6 ust. 1 lit. b RODO; wypełniając obowiązki wynikające z prawa telekomunikacyjnego, przetwarza dane osobowe skarżącego także w oparciu o przesłankę legalizującą uregulowaną w art. 6 ust. 1 lit. c RODO. Przetwarzanie danych osobowych dla celów dowodowych oraz obrony roszczeń administratora w związku z prowadzoną korespondencją ze skarżącym to prawnie usprawiedliwiony cel Spółki; spełniona została tym samym również przesłanka legalizująca proces przetwarzania danych osobowych skarżącego przez Spółkę wskazana w art. 6 ust. 1 lit. f RODO. Obowiązek informacyjny w stosunku do skarżącego został spełniony prawidłowo w momencie zawierania z nim umów po 25 maja 2018 r. Odnośnie umów zawartych przed tą datą, Spółka spełniała obowiązek informacyjny wobec skarżącego na podstawie przepisów ustawy z 1997 r.

W zakresie zarzutu udostępnienia danych osobowych skarżącego przez Spółkę osobie nieuprawnionej organ wskazał, że – co w złożonych wyjaśnieniach Spółka przyznała – w wyniku błędu pracownika, tj. wprowadzenia na jednym z kont skarżącego (utworzonym dla klienta indywidualnego) niewłaściwego adresu poczty elektronicznej, doszło do udostępnienia danych osobowych skarżącego w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego przypisanego do skarżącego w Spółce, numerów i kwot faktur VAT oraz informacji o usługach Spółki, z których korzystał skarżący, na rzecz osoby nieuprawnionej. Ten proces przetwarzania danych osobowych nie znajdował oparcia w żadnej z przesłanek legalizujących określonych w art. 6 ust. 1 RODO. Doszło także do naruszenia zasady określonej w art. 5 ust. 1 lit f RODO, bowiem dane osobowe skarżącego nie były przetwarzane przez Spółkę w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (integralność i poufność). Udostępnienie danych osobowych skarżącego podmiotowi nieuprawnionemu stanowiło zatem niezgodne z prawem przetwarzanie jego danych osobowych przez Spółkę.

Prezes UODO podał, że na podstawie art. 58 ust. 2 RODO przysługują mu uprawnienia naprawcze, w tym udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów RODO przez operacje przetwarzania (lit. b). W realiach niniejszej sprawy organ uznał, że właściwe jest zastosowanie wobec Spółki upomnienia za stwierdzone naruszenie przepisów o ochronie danych osobowych, tj. art. 6 ust. 1 RODO w zw. z art. 5 ust. 1 lit. f, gdyż przetwarzanie danych osobowych skarżącego, polegające na udostępnieniu w okresie od 25 maja 2018 r. do 21 maja 2020 r. danych osobowych skarżącego na rzecz nieuprawnionej osoby, stanowiło naruszenie norm z zakresu ochrony danych osobowych.

Organ wskazał jednocześnie, że z uwagi na fakt, że kwestionowane w skardze zdarzenie dotyczące udostępnienia przez Spółkę danych osobowych skarżącego na rzecz osoby nieuprawnionej rozpoczęło się, gdy obowiązywały przepisy ustawy z dnia 29 sierpnia 1997 r. i było kontynuowane do 21 maja 2020 r., czyli po wejściu w życie RODO, a postępowanie administracyjne przed organem nadzorczym zostało zainicjowane w czasie, gdy zaczęły obowiązywać przepisy ustawy z dnia 10 maja 2018 r. – Prezes UODO może dokonać oceny zgodności kwestionowanych w skardze działań administratora z przepisami RODO w okresie od 25 maja 2018 r. do 21 maja 2020 r. Udostępnienie danych osobowych skarżącego przez Spółkę na rzecz osoby nieuprawnionej w okresie od października 2016 r. do 24 maja 2018 r. miało miejsce w czasie, gdy obowiązywały przepisy ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. Przepisy te określały zasady przetwarzania danych osobowych do 24 maja 2018 r., natomiast od 25 maja 2018 r., obowiązują przepisy RODO oraz ustawy z dnia 10 maja 2018 r. W ocenie organu, udostępnianie danych osobowych skarżącego osobie nieuprawnionej w okresie od października 2016 r. do 24 maja 2018 r., nie może być tym samym rozpatrywane w toku postępowania administracyjnego zmierzającego do wydania decyzji w oparciu o przepisy RODO. Artykuł 99 ust. 1 RODO wprost wskazuje, że rozporządzenie ma zastosowanie od dnia 25 maja 2018 r. Organ przywołał też art. 57 ust. 1 lit. h RODO. W tej sytuacji, zdaniem Prezesa UODO, postępowanie w zakresie udostępnienia danych osobowych skarżącego w okresie od października 2016 r. do 24 maja 2018 r. podlega umorzeniu na podstawie art. 105 § 1 k.p.a.

W końcowej części uzasadnienia decyzji organ wyjaśnił, że brak jest niebudzących wątpliwości dowodów, które potwierdzałyby udostępnienie danych osobowych skarżącego zawartych w billingach na rzecz nieuprawnionej osoby trzeciej. Zaistniała zatem przesłanka do umorzenia postępowania – na podstawie art. 105 § 1 k.p.a. – w części dotyczącej przetwarzania przez Spółkę danych osobowych skarżącego zawartych w billingach.

Pismem z dnia 12 sierpnia 2022 r. skarżący wniósł skargę do WSA w Warszawie na decyzję Prezesa UODO z dnia 15 lipca 2022 r. W odniesieniu do punktu 1 decyzji skarżący zarzucił naruszenie art. 83 pkt 1 RODO poprzez niezastosowanie wytycznych Grupy Roboczej ds. Ochrony Danych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO i niezastosowanie skutecznej, proporcjonalnej i odstraszającej kary pieniężnej. W odniesieniu do punktu 2 decyzji skarżący zarzucił w szczególności: 1) naruszenie art. 80 k.p.a. poprzez wybiórczą ocenę całokształtu zebranego materiału dowodowego; 2) nieuprawnione stwierdzenie przez Prezesa UODO swojej niewłaściwości w przedmiocie stwierdzenia nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w okresie od października 2016 r. do 24 maja 2018 r. z powołaniem się na artykuł 99 ust. 1 RODO oraz motyw 122 RODO, podczas gdy z unormowań rozdziału 13 UODO, a w szczególności z art. 166 i 167 UODO wynika ciągłość kompetencyjna Prezesa UODO jako następcy GIODO. W odniesieniu do pozostałych punktów zaskarżonej decyzji skarżący zarzucił: I. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, a mianowicie: 1) naruszenie art. 7 i art. 77 § 1 k.p.a. w zw. z art. 12 § 1, art. 35 § 1, art. 50 § 1 i art. 75 k.p.a. w zakresie dotyczącym gromadzenia materiału dowodowego oraz przekroczenia ustawowego terminu rozpoznania; naruszenie art. 80 k.p.a. w związku z art. 68 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych poprzez dowolną ocenę całokształtu zebranego materiału dowodowego; 3) naruszenie art. 6 k.p.a. na skutek przeprowadzenia nierzetelnego postępowania dowodowego, ograniczającego się głównie do odebrania wyjaśnień od pełnomocnika administratora danych Spółki; 4) naruszenie art. 35 § 2 k.p.a. w zw. z art. 57 pkt 1 lit. f RODO poprzez zaniechanie wszczęcia postępowania z urzędu, którego zasadność przeprowadzenia przez Prezesa UODO wynikała z inicjacji argumentacją podniesioną w skardze złożonej temu organowi nadzorczemu przez skarżącego; 5) naruszenie art. 10 § 1 k.p.a. poprzez niezapewnienie czynnego udziału w każdym studium postępowania i uniemożliwienie wypowiedzenia się co do zebranych dowodów, jeżeli takie dowody zostały zebrane, II. naruszenie prawa materialnego, tj. art. 7 k.p.a. w zw. z art. 8 k.p.a. oraz art. 13 ust. 3 RODO. Skarżący wniósł o uchylenie zaskarżonej decyzji w zakresie rozstrzygnięć o umorzeniu postępowania administracyjnego; stwierdzenie przewlekłości postępowania; stwierdzenie naruszenia przez Spółkę przepisów art. 6 ust. 1-3 RODO oraz art. 5 ust. 1 lit. d. i f.; stwierdzenie konieczności wymierzenia skutecznej, proporcjonalnej i odstraszającej kary pieniężnej Spółce. Prezes UODO wniósł o oddalenie skargi.

W dniu 8 lutego 2023 r. WSA w Warszawie wydał opisany na wstępie wyrok, którym uwzględnił skargę w części. W uzasadnieniu tego wyroku Sąd I instancji wskazał, że nie doszło do naruszenia powołanych w skardze przepisów postępowania administracyjnego, a zgromadzony w sprawie materiał dowodowy jest wystarczający. Sąd I instancji podzielił stanowisko organu co do przesłanek legitymizujących przetwarzanie przez Spółkę danych osobowych skarżącego. W ocenie Sądu I instancji, organ jednoznacznie ustalił nadto, że w sprawie doszło do nieuprawnionego udostępnienia przez Spółkę danych osobowych skarżącego w zakresie: imienia, nazwiska, adresu, numeru telefonu, numeru konta abonenckiego, numerów i kwot faktur VAT oraz informacji o świadczonych na rzecz skarżącego usługach Spółki. Ten zakres nieuprawnionego udostępnienia danych osobowych skarżącego ujęty jest w punkcie 1 i 2 zaskarżonej decyzji. Nie ma przy tym wątpliwości, że to niezgodne z prawem udostępnienie miało miejsce od października 2016 r. do maja 2020 r. Prezes UODO wprost stwierdził w decyzji, że udostępnienie danych osobowych skarżącego osobie nieuprawnionej nie znajdowało oparcia w żadnej z przesłanek legalizujących określonych w art. 6 ust. 1 RODO. Ustalenie to jest, zdaniem Sądu I instancji, prawidłowe. Omyłkowe kierowanie faktur VAT (dotyczących konta utworzonego dla skarżącego jako klienta indywidualnego) na e-mail innej osoby skutkowało nieuprawnionym udostępnieniem danych osobowych skarżącego, wskazanych przez organ w punkcie 1 i 2 decyzji. Żadna podstawa nie legalizuje tego przetwarzania. Organ stwierdził przy tym prawidłowo, że doszło także do naruszenia zasady określonej w art. 5 ust. 1 lit. f RODO, bowiem dane osobowe skarżącego nie były przetwarzane przez Spółkę w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem (integralność i poufność). Udostępnienie w danych osobowych skarżącego podmiotowi nieuprawnionemu stanowiło zatem niezgodne z prawem przetwarzanie jego danych osobowych przez Spółkę.

Sąd I instancji nie zgodził się natomiast z twierdzeniem organu, że w stanie faktycznym tej sprawy zaszła podstawa do umorzenia postępowania przed Prezesem UODO w zakresie udostępnienia danych osobowych skarżącego osobie nieuprawnionej w okresie od października 2016 r. do 24 maja 2018 r. (punkt 2 zaskarżonej decyzji). Zdaniem Sądu I instancji, w stanie faktycznym tej sprawy nie może być mowy o bezprzedmiotowości postępowania w rozumieniu art. 105 § 1 k.p.a. Pogląd organu o braku możliwości zastosowania RODO (w kontekście uprawnień Prezesa UODO ujętych w RODO) w odniesieniu do przetwarzania danych osobowych skarżącego, o którym mowa w punkcie 2 zaskarżonej decyzji, a zatem obejmującym okres udostępnienia danych przed 25 maja 2018 r. – nie jest trafny. Choć to kwestionowane przetwarzanie (udostępnienie danych osobowych osobie nieuprawnionej), ujęte w punkcie 2 zaskarżonej decyzji, rozpoczęło się w czasie, gdy obowiązywała jeszcze ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r., to jednocześnie, już weszło w życie RODO (art. 99 ust. 1 RODO), a postępowanie w sprawie tego przetwarzania danych osobowych wszczęte zostało skargą skarżącego do Prezesa UODO z dnia 29 marca 2021 r., a zatem w czasie obowiązywania RODO (ma ono bowiem zastosowanie od 25 maja 2018 r., zgodnie z art. 99 ust. 2 RODO). Nie ma też najmniejszych wątpliwości – w świetle ustaleń stanu faktycznego dokonanych w zaskarżonej decyzji – że udostępnienie danych osobowych skarżącego osobie nieuprawnionej, które rozpoczęło się w październiku 2016 r. było kontynuowane (trwało) w czasie obowiązywania RODO (do 21 maja 2020 r.). Nie zakończyło się ono zatem przed wejściem w życie RODO. W świetle powyższego RODO znajdowało w pełni zastosowanie do całego procesu przetwarzania (nieuprawnionego udostępnienia) danych osobowych skarżącego, o którym mowa w punkcie 1 i 2 zaskarżonej decyzji, i w tych okolicznościach brak było podstaw do zastosowania art. 105 § 1 k.p.a. w punkcie 2 zaskarżonej decyzji. Zdaniem Sądu I instancji, RODO ma zastosowanie nie tylko do zdarzeń powstałych po jego wejściu w życie, ale także do tych zdarzeń, które miały miejsce wcześniej i trwały nadal (były kontynuowane) po 25 maja 2018 r. Taka sytuacja zachodzi w niniejszej sprawie i nie ma podstaw do odmowy zastosowania przez Prezesa UODO przepisów RODO we wskazanym wyżej zakresie.

Sąd I instancji zauważył, że zgodnie z art. 160 ust. 1 u.o.d.o. z 2018 r., postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa UODO. Stosownie do art. 160 ust. 2 tej ustawy, postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy uchylanej w art. 175, zgodnie z zasadami określonymi w k.p.a. Postępowanie w sprawie niniejszej zostało wszczęte 29 marca 2021 r., proces przetwarzania danych (udostępnienia osobie nieuprawnionej), choć rozpoczęty w 2016 r., trwał nadal po wejściu w życie RODO i był kontynuowany do 21 maja 2020 r. i ma do niego w pełni zastosowanie RODO. W ocenie Sądu I instancji, bezpośrednie stosowanie nowej ustawy o ochronie danych osobowych (z 10 maja 2018 r.) i RODO nie jest możliwe jedynie do tych zdarzeń (przetwarzania danych), które ustały przed dniem wejścia w życie RODO. W konsekwencji Sąd I instancji stwierdził, że z uwagi na naruszenie art. 105 § 1 k.p.a. konieczne stało się uchylenie punktu 2 zaskarżonej decyzji.

Sąd I instancji wskazał, że ponownie rozstrzygając sprawę organ obowiązany będzie podjąć rozstrzygnięcie merytoryczne w zakresie całego procesu przetwarzania (udostępnienia) danych osobowych skarżącego ujętego obecnie odrębnie w punkcie 1 i 2 zaskarżonej decyzji. Uchylenie punktu 1 zaskarżonej decyzji podyktowane jest tym, że zastosowany przez organ środek naprawczy odnosił się jedynie do fragmentu procesu przetwarzania (udostępnienia) danych osobowych skarżącego przez Spółkę osobie nieuprawnionej, co nie było prawidłowe. Ponadto uchylenie tego punktu decyzji konieczne było z uwagi na brak w istocie uzasadnienia przez organ zastosowanego środka, o którym mowa w art. 58 ust. 2 lit. b RODO. Uchybienie w tym zakresie przepisowi art. 107 § 3 k.p.a. mogło mieć istotny wpływ na wynik sprawy. Organ wskazał w decyzji jedynie, że właściwe jest – w realiach sprawy – zastosowanie upomnienia. Nie wyjaśnił jednakże dlaczego właśnie ten środek naprawczy jest właściwy. Organ, ponownie rozstrzygając w sprawie, winien uwzględnić motyw 148 RODO i wyjaśnić w decyzji stronie, czy naruszenie przepisów RODO uważa w stanie faktycznym sprawy za niewielkie, czy inny środek byłby dla Spółki zbyt uciążliwy. Organ winien wziąć pod uwagę charakter naruszenia, czas jego trwania, ocenić, czy naruszenie było umyślne.

W końcowej części uzasadnienia wyroku Sąd I instancji zaznaczył, że w pozostałym zakresie, tj. w zakresie dotyczącym rozstrzygnięć organu zawartych w punktach 3 i 4 decyzji, nie stwierdził naruszenia prawa. W ocenie Sądu I instancji zaskarżona decyzja w tych punktach odpowiada prawu.

Pismem z dnia 21 kwietnia 2023 r. Prezes UODO wniósł skargę kasacyjną od wyroku WSA w Warszawie z dnia 8 lutego 2023 r., zaskarżając go w zakresie punktów 1 i 3. Prezes UODO zarzucił zaskarżonemu wyrokowi:

I. naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy:

1) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 105 § 1 k.p.a., poprzez niezasadne uznanie, że nie zachodzą przesłanki do umorzenia postępowania w zakresie udostępnienia danych osobowych, które miało miejsce przed 25 maja 2018 r., wobec czego organ powinien podjąć w tym zakresie rozstrzygnięcie merytoryczne i zastosować uprawnienia naprawcze, przyznane mu na mocy przepisów RODO, znajdującego zastosowanie od dnia 25 maja 2018 r., co doprowadziło do uchylenia zaskarżonej decyzji w zakresie punktów 1 i 2;

2) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 107 § 3 k.p.a. oraz w zw. z art. 58 ust. 2 lit. b RODO, poprzez niezasadne uznanie, że Prezes UODO nie przedstawił w uzasadnieniu zaskarżonej decyzji wyczerpującej argumentacji świadczącej o braku dowolności zastosowanego uprawnienia naprawczego w postaci upomnienia, co w konsekwencji doprowadziło do uchylenia zaskarżonej decyzji w zakresie punktu 1;

II. naruszenie przepisu prawa materialnego, tj. art. 99 ust. 1 i 2 RODO przez jego błędną wykładnię i uznanie, że RODO znajduje zastosowanie do procesu przetwarzania danych osobowych, który trwał przed rozpoczęciem stosowania RODO, tj. od października 2016 r. do 24 maja 2018 r.

Prezes UODO wniósł o uchylenie zaskarżonego wyroku w części, tj. w zakresie jego punktów 1 i 3, oraz o rozpoznanie skargi w przypadku uznania, że istota sprawy jest dostatecznie wyjaśniona, ewentualnie uchylenie zaskarżonego wyroku w wymienionej części i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie. Prezes UODO wniósł również o zasądzenie zwrotu kosztów postępowania na rzecz organu według norm przepisanych. W uzasadnieniu skargi kasacyjnej przedstawiona została argumentacja na poparcie sformułowanych zarzutów i wniosków.

Pismem z dnia 28 kwietnia 2023 r. Spółka wniosła skargę kasacyjną od wyroku WSA w Warszawie z dnia 8 lutego 2023 r., zaskarżając go w zakresie punktu 1. Spółka zarzuciła zaskarżonemu wyrokowi:

I. naruszenie przepisów postępowania, a to art. 141 § 4 p.p.s.a., przez sformułowanie uzasadnienia wyroku w sposób niespełniający wymogów ustawowych, w związku z niewyjaśnieniem podstawy prawnej rozstrzygnięcia, a to w związku z ograniczeniem się do przywołania w uzasadnieniu wyroku treści art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. 2019, poz. 1789), bez dokonania wykładni tych norm oraz bez wskazania, czy i dlaczego przepisy te miały wpływ na podjęte rozstrzygnięcie, które to uchybienie miało istotny wpływ na wynik sprawy, bowiem z tego powodu wyrok nie poddaje się kontroli sądowoadministracyjnej;

II. naruszenie przepisów postępowania, a to art. 145 § 1 pkt 1 p.p.s.a. w zw. z art. 107 § 3 k.p.a. oraz w zw. z art. 105 § 1 k.p.a., przez błędne uznanie, że Prezes UODO rzekomo uchybił temu przepisowi w sposób mogący mieć istotny wpływ na wynik sprawy, w związku z tym, że organ rzekomo nie uzasadnił zastosowania środka naprawczego w postaci upomnienia określonego w art. 58 ust. 2 lit. b RODO, podczas gdy z uzasadnienia decyzji jasno wynikały przyczyny zastosowania tego środka naprawczego przez Prezesa UODO, które to uchybienie miało istotny wpływ na wynik sprawy, bowiem skłoniło Sąd I instancji do wniosku, że pkt 1 decyzji podlegał uchyleniu "również" z tego powodu;

III. naruszenie przepisów prawa materialnego, przez ich błędną wykładnię, a w konsekwencji wadliwe zastosowanie, a to art. 99 ust. 1 i 2 RODO w zw. z art. 6 ust. 1 RODO oraz art. 58 ust. 2 RODO, a także art. 1 ust. 1 u.o.d.o. i art. 160 ust. 1 i 2 u.o.d.o. oraz art. 42 ust. 1 zd. 1 Konstytucji RP i art. 2 Konstytucji RP w zw. z art. 7 ust. 1 zd. 1 Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności sporządzonej w Rzymie dnia 4 listopada 1950 r. oraz w zw. z art. 105 § 1 k.p.a., w związku z nietrafnym uznaniem przez Sąd I instancji, że do zdarzeń (tj. przypadków udostępnień danych osobowych skarżącego), które miały miejsce przed 25 maja 2018 r., znajdują zastosowanie przepisy RODO, w tym przepisy dotyczące nakładania sankcji w przypadku naruszenia przepisów tego rozporządzenia (a w konsekwencji wadliwe przyjęcie przez WSA, że Prezes UODO nie miał podstaw do umorzenia postępowania w tym zakresie w oparciu o art. 105 § 1 k.p.a.), podczas gdy:

– dokonanie przez Prezesa UODO oceny zdarzeń, które miały miejsce przed 25 maja 2018 r., przez pryzmat przepisów RODO, które nie znajdowały wówczas zastosowania, stanowiłoby o złamaniu zasady niedziałania prawa wstecz (art. 2 Konstytucji RP);

– hipotetyczne zastosowanie wobec Spółki sankcji za domniemane naruszenia, które miały miejsce przed datą rozpoczęcia stosowania RODO jako aktu przewidującego możliwość nałożenia sankcji za takie naruszenia (w tym sankcji upomnienia), stanowiłoby o złamaniu gwarancji nullum crimen, nullum poena sine lege (art. 42 ust. 1 zd. 1 Konstytucji RP oraz art. 7 ust. 1 zd. 1 EKPC);

– zdarzenia w postaci udostępnienia danych osobowych osobie nieuprawnionej (choćby występujące wielokrotnie) mają charakter jednostkowy (odrębny) i "zamknięty" w czasie, a nie "ciągły", jak przyjął WSA, a zatem nie mogą być potraktowane jako jeden proces "kontynuowany" przed i po dacie rozpoczęcia stosowania RODO;

– w okresie do dnia 25 maja 2018 r. dane skarżącego (jako przedsiębiorcy) wpisane do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDC) w ogóle nie były objęte ochroną danych osobowych przewidzianą w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) – ochronę tę wyłączał art. 39b ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, uchylonej z dniem 30 kwietnia 2018 r. – a zatem także z tego powodu zastosowanie w tym zakresie przepisów RODO świadczyło o naruszeniu zasady lex retro non agit oraz zasady nullum crimen, nullum poena sine lege.

Spółka wniosła o uchylenie wyroku w zaskarżonej części oraz przekazanie sprawy do ponownego rozpoznania WSA w Warszawie, a także o przyznanie Spółce zwrotu kosztów postępowania kasacyjnego, według norm przepisanych. W uzasadnieniu skargi kasacyjnej przedstawiona została argumentacja na poparcie sformułowanych zarzutów i wniosków. Została ona rozwinięta w piśmie z dnia 30 marca 2026 r.

Pismem z dnia 24 maja 2023 r. Prezes UODO, w odpowiedzi na skargę kasacyjną Spółki, przychylił się do przedstawionego w tej skardze kasacyjnej stanowiska, a nadto podtrzymał swoje stanowisko oraz wnioski zawarte w skardze kasacyjnej z dnia 21 kwietnia 2023 r.

Naczelny Sąd Administracyjny zważył, co następuje.

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2026 r. poz. 143, dalej p.p.s.a.) Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W niniejszej sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej. Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy. Zgodnie z art. 174 p.p.s.a. skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Rozpoznawszy skargi kasacyjne z uwzględnieniem powyższych uwarunkowań, Naczelny Sąd Administracyjny stwierdził, że nie mają one usprawiedliwionych podstaw i tym samym podlegają oddaleniu.

Odnosząc się wpierw do podniesionego w skardze kasacyjnej Spółki zarzutu naruszenia art. 141 § 4 p.p.s.a. (zarzut I) – zauważyć trzeba, że powołany przepis traktuje o elementach uzasadnienia wyroku i stanowi, że uzasadnienie wyroku powinno zawierać zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Jeżeli w wyniku uwzględnienia skargi sprawa ma być ponownie rozpatrzona przez organ administracji, uzasadnienie powinno ponadto zawierać wskazania co do dalszego postępowania. Zarzut naruszenia art. 141 § 4 p.p.s.a. może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie, i gdy w ramach przedstawienia stanu sprawy wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania. Naruszenie to musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za pomocą odnośnego zarzutu nie można skutecznie zwalczać ustaleń sądu co do stanu faktycznego ani kwestionować stanowiska sądu co do wykładni bądź zastosowania prawa materialnego. W ramach rozpatrywania zarzutu naruszenia art. 141 § 4 p.p.s.a. Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi ze statuowanej tym przepisem normy prawnej. Wadliwość uzasadnienia orzeczenia może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a. w sytuacji, gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku (por. wyrok NSA z dnia 27 września 2024 r., III OSK 2850/22).

W ocenie Naczelnego Sądu Administracyjnego uzasadnienie zaskarżonego wyroku spełnia wymogi określone w art. 141 § 4 p.p.s.a., wyjaśnia motywy podjętego przez Sąd I instancji rozstrzygnięcia i tym samym sprawia, że poddaje się ono kontroli instancyjnej. W szczególności Sąd I instancji wskazał powody podważanego w skargach kasacyjnych częściowego uchylenia zaskarżonej decyzji (punkt 1 wyroku). Uzasadnienie zaskarżonego wyroku w sposób nader czytelny ukazuje stanowisko Sądu I instancji co do występującej w niniejszej sprawie kwestii intertemporalnej, a powołanie w tymże uzasadnieniu przepisów art. 160 ust. 1 i 2 u.o.d.o. z 2018 r. jest adekwatnym i zrozumiałym elementem szerszej argumentacji. "Fakt, że stanowisko zajęte przez sąd administracyjny I instancji jest odmienne od prezentowanego przez wnoszącego skargę kasacyjną nie oznacza, iż uzasadnienie zaskarżonego wyroku zawiera wady konstrukcyjne, nie poddaje się kontroli kasacyjnej, czy też, że jest wadliwe w stopniu uzasadniającym uchylenie wydanego w sprawie rozstrzygnięcia" (wyrok NSA z dnia 17 grudnia 2025 r., II GSK 1073/22). Zarzut naruszenia art. 141 § 4 p.p.s.a. nie mógł zatem odnieść zamierzonego skutku.

W obu skargach kasacyjnych sformułowany został zarzut naruszenia art. 99 ust. 1 i 2 RODO przez błędną wykładnię (zarzut II w skardze kasacyjnej Prezesa UODO i zarzut III w skardze kasacyjnej Spółki), który naprowadza na wspomnianą już wyżej kwestię intertemporalną, mającą w niniejszej sprawie znaczenie kluczowe. Idzie o to, czy przepisy RODO mogą mieć zastosowanie do zdarzeń (nieprawidłowości w procesie przetwarzania danych osobowych) sprzed 25 maja 2018 r. Czynnikiem potencjalnie różnicującym te zdarzenia jest ich kontynuacja (trwanie) w dniu 25 maja 2018 r. i później lub brak takiej kontynuacji.

Kwestia intertemporalna, o której mowa, była przedmiotem rozważań Naczelnego Sądu Administracyjnego w wyroku z dnia 26 września 2024 r., III OSK 485/23. Naczelny Sąd Administracyjny wyjaśnił w szczególności, że u.o.d.o. z 2018 r. zawiera regulację intertemporalną odnoszącą się do postępowań administracyjnych wszczętych i niezakończonych przed wejściem w życie przepisów tej ustawy. Zgodnie z art. 160 ust. 2 ustawy z 2018 r. postępowania wszczęte i niezakończone przed 25 maja 2018 r. prowadzi się na podstawie ustawy z 1997 r., zgodnie z zasadami określonymi w Kodeksie postępowania administracyjnego. Z przepisu tego wynika, że w postępowaniach wszczętych pod rządami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), które nie zostały zakończone do czasu uchylenia tej ustawy, należy stosować przepisy ustawy z 1997 r. i to zarówno w zakresie podejmowanych czynności proceduralnych, jak i w zakresie materialnoprawnej oceny zdarzeń będących przedmiotem postępowania. Brak jest natomiast przepisu przejściowego regulującego postępowania, które zostały wszczęte po wejściu w życie nowej ustawy, a dla których przesłanki faktyczne determinujące jego wszczęcie wystąpiły jeszcze przed wejściem w życie przedmiotowych przepisów. Podstawową zasadą znajdującą zastosowanie przy braku przepisów intertemporalnych – aprobowaną przez Trybunał Sprawiedliwości Unii Europejskiej – jest nakaz stosowania przepisów obowiązujących w momencie zakończenia zdarzeń, który miały miejsce przed wejściem w życie nowych przepisów, ale trwają jeszcze po ich wejściu w życie. Do zdarzeń natomiast, które zakończyły swój bieg przed wejściem w życie nowych przepisów, należy stosować przepisy w dotychczasowym brzmieniu. "Nie do pogodzenia z istotą wymiaru sprawiedliwości jest (...) przyjęcie interpretacji przepisów w sposób, który prowadziłby do sytuacji, w której – z uwagi na brak przepisów intertemporalnych – obywatel pokrzywdzony naruszeniem przepisów o ochronie danych osobowych nie mógłby dochodzić swoich praw, a określony podmiot pozostawałby w istocie bezkarny nawet pomimo oczywistego naruszenia przepisów o ochronie danych osobowych" (zob. powołany wyrok NSA z dnia 26 września 2024 r. oraz przytoczone tam orzecznictwo).

Zreferowany pogląd, który Naczelny Sąd Administracyjny w składzie rozpoznającym niniejszą sprawę podziela, prowadzi do wniosku, że nie było podstaw do umorzenia postępowania w zakresie nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w okresie od października 2016 r. do 24 maja 2018 r. (punkt 2 zaskarżonej decyzji) – a Sąd I instancji zasadnie to stwierdził. Z pewnością nie można powiedzieć, że w tym zakresie nie ma sprawy administracyjnej – taka sprawa istnieje i wymaga merytorycznego rozstrzygnięcia. W związku z tym wyłania się jednak kolejne, bardziej szczegółowe zagadnienie, sprowadzające się do pytania o materialnoprawną i proceduralną podstawę orzekania przez organ. W powołanym wyroku z dnia 26 września 2024 r. Naczelny Sąd Administracyjny uznał, że: "Zdarzenie stanowiące podstawę złożenia (...) skargi do Prezesa UODO powinno podlegać ocenie według przepisów prawa materialnego obowiązujących w dniu, w którym dane zdarzenie miało miejsce. Postępowanie administracyjne w tym przedmiocie powinno być zaś prowadzone w oparciu o ustawę z 2018 r. oraz rozporządzenie nr 2016/679, gdyż stosowny wniosek (...) wpłynął do organu w dniu 26 listopada 2018 r.". Ta wskazówka była jednak zrelatywizowana do stanu faktycznego, w którym odnośne zdarzenie miało charakter jednorazowy i nie było kontynuowane po 25 maja 2018 r. Stan faktyczny niniejszej sprawy, gdy idzie o ten aspekt, jest inny, bowiem w rachubę wchodzi zdarzenie, które miało kontynuację i trwało do 21 maja 2020 r. W takiej zaś sytuacji przyjąć należy, że do oceny przedmiotowego zdarzenia, która w założeniu musi być kompleksowa i jednolita w odniesieniu do jego całości, należy stosować nowe prawo, tj. ustawę z 2018 r. oraz rozporządzenie nr 2016/679 – zarówno w płaszczyźnie materialnej, jak i procesowej. Nie ma tu racjonalnych przesłanek ku temu, aby dokonywać "podziału" stanu faktycznego w celu jego oceny po części według dawnego stanu prawnego i po części według nowego stanu prawnego.

W tym kontekście warto również odwołać się do spostrzeżeń poczynionych w doktrynie: "Metoda bezpośredniego działania nowego prawa w stosunku do realnych stanów faktycznych, które powstały lub istniały w okresie obowiązywania dawnego prawa, jest wprawdzie wyjątkiem od zasady tempus regit factum, jednakże jej zastosowanie nie powinno budzić wątpliwości, zwłaszcza na polu regulacji administracyjnoprawnej, która jest naznaczona prymatem interesu publicznego. Wątpliwości może natomiast budzić kategoryczność tak sformułowanej zasady. W szczególności nie jest pozbawiony pewnych racji pogląd, że niektóre tzw. otwarte trwałe stany faktyczne, polegające na istnieniu pewnego stanu, mogą podlegać podziałowi na zamknięte odcinki czasowe, które w razie zmiany normatywnej powinny zostać powiązane z dotychczasową regulacją. Pogląd ten zasługuje na aprobatę pod warunkiem, że można sformułować przekonujące kryteria rozróżniania między wieloczłonowymi stanami faktycznymi ograniczonymi czasowo, stanami otwartymi i stanami zamkniętymi czasowo. Podobnie nie można wykluczyć sytuacji, w ramach której sposób konstrukcji wymiaru czasowego normatywnego stanu faktycznego będzie dawał podstawy do wydzielenia jego określonych i ściśle oznaczonych członów, których realizacja będzie pozwalać na ich powiązanie z dotychczasowym wzorcem normatywnym. W tym sensie można by wyróżniać zamknięte czasowo części otwartego realnego stanu faktycznego lub zakończone człony wieloczłonowego stanu faktycznego. Jeżeli jednak na poziomie regulacji prawnej brak jest możliwości dokonania tego rodzaju fragmentacji, to podejmowanie prób jej konstruowania w sferze faktualnej wydaje się być skazane na niepowodzenie" (M. Kamiński, Prawo administracyjne intertemporalne, Warszawa 2011, s. 292).

W świetle powyższych uwag zarzuty skarg kasacyjnych zmierzające do zakwestionowania stanowiska Sądu I instancji, w myśl którego nieprawidłowości w procesie przetwarzania danych osobowych skarżącego w okresie od października 2016 r. do 24 maja 2018 r. również powinny podlegać ocenie przez pryzmat przepisów ustawy z 2018 r. oraz rozporządzenia nr 2016/679 – jawią się jako nietrafne. Zdaniem Naczelnego Sądu Administracyjnego, Sąd I instancji przy rozstrzyganiu kwestii intertemporalnej nie naruszył art. 99 ust. 1 i 2 RODO ani innych przepisów powołanych w odnośnych zarzutach. Siłą rzeczy, za niezasadne trzeba też uznać zarzuty wskazujące na naruszenie przez Sąd I instancji art. 105 § 1 k.p.a. przez negatywną weryfikację podstaw do umorzenia postępowania administracyjnego (zarzut I.1 w skardze kasacyjnej Prezesa UODO i zarzut III w skardze kasacyjnej Spółki) – Sąd I instancji prawidłowo stwierdził, że takich podstaw nie było. Ocena potencjalnego znaczenia dla rozstrzygnięcia sprawy art. 39b ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej byłaby obecnie przedwczesna.

Nie zasługiwały na uwzględnienie zarzuty skarg kasacyjnych, w których powołano art. 107 § 3 k.p.a. oraz art. 58 ust. 2 lit. b RODO i które zorientowane są na część wyroku Sąd I instancji stanowiącą o uchyleniu zaskarżonej decyzji w zakresie punktu 1, tj. w zakresie zastosowanego środka naprawczego (zarzut I.2 w skardze kasacyjnej Prezesa UODO i zarzut II w skardze kasacyjnej Spółki). Sąd I instancji wskazał dwa argumenty przemawiające za uchyleniem zaskarżonej decyzji w zakresie punktu 1: pierwszy to potrzeba reasumpcji rozstrzygnięcia o środku naprawczym w konsekwencji objęcia oceną szerszego okresu przetwarzania danych, a drugi to występujący w zaskarżonej decyzji deficyt uzasadnienia w tej mierze. Oba te argumenty są trafne i przekonują o zgodności z prawem orzeczenia Sądu I instancji również w tej części, która dotyczy punku 1 zaskarżonej decyzji.

Z tych przyczyn Naczelny Sąd Administracyjny, na podstawie art. 184 p.p.s.a., oddalił skargi kasacyjne.