Centralna Baza Orzeczeń Sądów Administracyjnych

1. Nie jest uprawnione zastosowanie dyrektyw wykładni funkcjonalnej do przepisów art. 33 ust. 1 i art. 34 ust. 1 RODO, tj. przepisów określających obowiązki administratorów danych osobowych w zakresie, w którym pełnią oni rolę gwarantów prawa lub wolności osób fizycznych.

2. Zastosowanie dyrektyw funkcji prowadzące do ograniczenia zastosowania takich przepisów prowadziłoby do ograniczenia ochrony praw i wolności obywatelskich, co może nastąpić wyłącznie na podstawie przepisów ustawy (art. 30 ust. 3 Konstytucji RP) interpretowanej z użyciem dyrektyw językowych.

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Rafał Stasikowski (spr.) Sędziowie sędzia NSA Zbigniew Ślusarczyk sędzia del. WSA Paweł Mierzejewski Protokolant asystent sędziego Antoni Cypryjański po rozpoznaniu w dniu 20 marca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Śląskiego Uniwersytetu Medycznego w Katowicach od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 22 września 2021 r. sygn. akt II SA/Wa 791/21 w sprawie ze skargi Śląskiego Uniwersytetu Medycznego w Katowicach na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 5 stycznia 2021 r. nr DKN.5131.6.2020.106490 w przedmiocie ochrony danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Śląskiego Uniwersytetu Medycznego w Katowicach na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 2 800 zł (dwa tysiące osiemset złotych) tytułem zwrotu kosztów postępowania kasacyjnego.

Wyrokiem z 22 września 2021 r., II SA/Wa 791/22, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Śląskiego Uniwersytetu Medycznego w Katowicach na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 5 stycznia 2021 r., nr DKN.5131.6.2020.106490, w przedmiocie ochrony danych osobowych.

Wyrok zapadł w następujących okolicznościach faktycznych i prawnych.

Decyzją z 5 stycznia 2021 r. Prezes Urzędu Ochrony Danych Osobowych, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.; dalej "k.p.a."), art. 7 ust. 1, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781; dalej "u.o.d.o."), a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 - 3 i art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2; dalej "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Śląski Uniwersytet Medyczny w Katowicach (dalej: Administrator, UM, skarżący), stwierdził naruszenie przez Śląski Uniwersytet Medyczny w Katowicach przepisów:

a) art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

b) art. 34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.

Mając powyższe na uwadze organ:

1. nałożył na Śląski Uniwersytet Medyczny w Katowicach karę pieniężną w wysokości 25 000 zł,

2. nakazał zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:

a) opisu charakteru naruszenia ochrony danych osobowych;

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków;

w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna.

W uzasadnieniu wskazał, że do Prezesa UODO wpłynęły od kilkunastu osób informacje o naruszeniu ochrony danych osobowych, zaś 27 lipca 2020 r. jedna osoba, wniosła skargę z tym związaną. Z informacji przekazanych przez tę osobę wynika, że naruszenie polegało na udostępnieniu na platformie [...] (w której na dzień 11.06.2020 r. zarejestrowanych było 237 osób) nagrań obrazujących przebieg egzaminów praktycznych z pediatrii organizowanych przez Katedrę i Klinikę [...] Uniwersytetu Medycznego w Katowicach, które odbyły się w trzech terminach: [...].05.2020 r., [...].05.2020 r. i [...].05.2020 r., przy czym w trakcie przystępowania do egzaminu większość uczestniczących w nim studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. Jeden ze studentów 4.06.2020 r. poinformował starostów grup o tym, że na ww. platformie zamieszczono nagrania wszystkich sekcji egzaminowanych od początku trwania egzaminów, podkreślił również, że studenci nie zostali uprzedzeni, że nagranie po przeegzaminowaniu będzie udostępnione szerszej grupie osób. W związku z tym, że nagranie było ogólnodostępne w gronie studenckim nawzajem przesyłano sobie informację o udostępnieniu nagrania, a zaalarmowani studenci zaczęli sprawdzać, czy wyraźnie są widoczne ich dane z dowodów osobistych. Wiele osób logowało się na platformę lub przesyłało sobie linki do nagrań. Ze strony Administratora nie było żadnej reakcji. W trakcie sprawdzania linków okazało się, że istnieje możliwość obejrzenia nagrania po uzyskaniu linku do Big Blue Button bez konieczności logowania, co było dowodem na niezabezpieczenie danych osobowych widocznych na filmach. W celu zabezpieczenia dowodów na poparcie słuszności zgłoszenia zostały również zrobione zdjęcia ekranu komputera, na którym były zapauzowane nagrania i widoczne dowody osobiste.

Wobec powyższego 30 lipca 2020 r. organ, działając na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwrócił się do UM o udzielenie informacji, czy w związku z ww. sytuacją dokonana została analiza incydentu pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Administrator 11 sierpnia 2020 r. potwierdził, że doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu danych osobowych nieuprawnionym odbiorcom. Stwierdził również, że dokonał oceny zdarzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Ponadto z wyjaśnień Administratora wynika, że "Administrator Platformy e-learningowej opracował autorską poprawkę do systemu BigBlueButton uniemożliwiającą studentom pobieranie filmów. Pobieranie filmów jest normalną funkcjonalnością systemu (nie zalicza się do działań hakerskich czy podatności systemu) dla zalogowanych studentów i jest rejestrowane - utworzony pokój wirtualny dostępny jest wyłącznie dla egzaminowanej grupy i tylko te osoby mają dostęp do zapisywanych nagrań. Błąd osoby prowadzącej polegał na niewyłączeniu pokoju i dostępu do niego po zakończeniu egzaminu". Administrator stwierdził, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób, których dane dotyczą. W dniu 17 sierpnia 2020 roku do organu wpłynęła odpowiedź udzielona przez Rektora UM, z której wynika m.in., że "Zabezpieczono logi i informacje o osobach, które nagrania pobrały. Rozpoczęto analizę powziętych danych nt. ww. incydentu. Z przeprowadzonych ustaleń wynika, że mechanizmy bezpieczeństwa platformy e-learningowej nie zostały przełamane jak również nie doszło do tzw. wycieku danych. Ponadto na podstawie analiz dokonanych przez Administratora Platformy e-learningowej i Działu ds. Bezpieczeństwa Informacji ustalono, że nagranie pobrane zostało przez 26 osób znanych Uczelni z imienia i nazwiska - członków wspólnoty Uczelni tj. (egzaminowani studenci danego kierunku oraz nauczyciele akademiccy), na których ciąży odpowiedzialność indywidualna za ich nierozpowszechnianie. W związku z zakresem udostępnienia rzeczonych nagrań ograniczonych wyłącznie do uczestników egzaminu oraz niskim prawdopodobieństwem naruszenia praw i wolności osób, których dane dotyczą Uczelnia odstąpiła od obowiązku zgłaszania naruszenia do Urzędu Ochrony Danych Osobowych, o którym mowa w art. 33 ust. 1 RODO".

Pismem z 2 września 2020 r. Prezes UODO poinformował Administratora o treści art. 33 ust. 1 RODO.

W piśmie z 11 września 2020 r. Administrator poinformował Prezesa UODO, że od daty złożenia pierwszych wyjaśnień "do dnia dzisiejszego" do Uczelni nie wpłynęła żadna dodatkowa informacja mająca bezpośredni wpływ na czynniki determinujące konieczność przeprowadzenia ponownej analizy ryzyka w zakresie odnotowanego incydentu, którego możliwa eskalacja została bezzwłocznie, skutecznie i technicznie powstrzymana.

W dniu 16 września 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła odpowiedź Rektora UM, z której wynika, że "(...) nagrania przebiegu egzaminu były dostępne dla studentów oznaczonego rocznika jednego kierunku i prowadzących zajęcia wykładowców, gdzie w zakresie znajomości tożsamości osoby, których dane dotyczą, takimi informacjami wzajemnie dysponują. Bezspornym jest jednak fakt, iż zakres danych możliwych do pobrania przez ww. grupę osób był szerszy, nie mniej zostały podjęte skuteczne środki blokujące to naruszenie wraz z autorskim informatycznym przeprogramowaniem funkcjonalności platformy e-learningowej.

W związku z tym, że nagrania mogły być pobrane przez wyżej opisaną grupę będącą wyodrębnioną częścią społeczności akademickiej oceniono ryzyko naruszenia praw i wolności osób, których dane dotyczą na małe. (...) Co istotne podkreślić należy, że każdy student Śląskiego Uniwersytetu Medycznego w Katowicach zobowiązany jest do poszanowania godności każdego człowieka, a w szczególności, wzajemnie w ramach środowiska akademickiego. (...) Nadto studenci zobowiązani są Statutem Uczelni do przestrzegania przepisów wewnętrznych obowiązujących w Uczelni (norm, zasad współżycia i zwyczajów akademickich) w tym, w szczególności odnoszących się do ochrony prywatności. Mając na uwadze powyższe obowiązki studentów i pozostałych członków wspólnoty akademickiej w zakresie zgłaszania incydentów związanych z bezpieczeństwem informacji nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań".

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, 19 października 2020 r. Prezes UODO wszczął wobec Administratora postępowanie administracyjne.

W piśmie z 26 października 2020 r. Administrator uznał, że jest mało prawdopodobne by przedmiotowe naruszenie skutkowało ryzykiem naruszenia praw i wolności osób fizycznych. Powołał się na art. 76a ustawy z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wyższym i nauce (Dz.U. 2018 poz. 1668 ze zm.).

W uzasadnieniu wskazanej na wstępie decyzji Prezes UODO przywołał treść art. 4 pkt 12, art. 33 ust. 1 i 3 i art 34 ust. 1 RODO. Uznał, że w przedmiotowej sprawie doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu na platformie [...] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestników - studentów została wylegitymowana legitymacją studencką lub dowodem osobistym. Administrator nie kwestionował, iż sytuacja taka miała miejsce. Organ wskazał, że dane widoczne na pierwszej stronie dowodu osobistego (w zależności od chwili jego wydania, jako że obecnie w obiegu funkcjonują dowody osobiste wydane według trzech wzorów), poza: zdjęciem, imionami, nazwiskiem, datą urodzenia i płcią, obejmują dodatkowo szczegółowo wskazane w decyzji dane. Jak wskazał organ, ponadto Administrator nie odniósł się do kwestii danych widocznych na legitymacjach studenckich, które studenci okazywali w związku z przystępowaniem do egzaminu. Zgodnie z odpowiednim poprzednio obowiązującymi przepisami wykonawczymi na legitymacji studenckiej widoczne są: kolorowe zdjęcie posiadacza legitymacji, nazwa uczelni, imię, nazwisko, adres, data wydania, numer albumu, numer PESEL (a w przypadku obcokrajowców odpowiednio: data urodzenia). Zgodnie natomiast z obecnie obowiązującym rozporządzeniem Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów (Dz.U. z 2018 r., poz. 1861, ze zm. - obowiązującym od dnia 1 października 2018 r.), legitymacja taka zawiera wszystkie wyżej wskazane dane poza adresem studenta. Prezes UODO podał, że jak wskazał w złożonych wyjaśnieniach Administrator, utrwalone na nagraniach dane znajdujące się na ww. dokumentach mogły pozostawać nieczytelne lub jedynie częściowo czytelne. Powyższe stwierdzenie, w ocenie organu, może budzi wątpliwości w kontekście celu, dla którego dokumenty te były okazywane, tj. zweryfikowanie tożsamości osoby przystępującej do egzaminu. Ponadto fakt, że dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną. Wreszcie nie można pominąć istnienia programów umożliwiających stosowną obróbkę zdjęć lub nagrań w sposób umożliwiający odczytanie tych danych. Te wszystkie okoliczności, jako istotne, powinny być wzięte pod uwagę przez Administratora przy ocenie, czy doszło do naruszenia ochrony danych osobowych, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów danych, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z zebranego materiału dowodowego, Administrator tego nie uczynił.

Organ podkreślił również, że w sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych. Administrator

w swoich wyjaśnieniach podkreślał, że nie wpłynęły do niego informacje wskazujące na nieuprawnione wykorzystanie danych osobowych udostępnionych w wyniku przedmiotowego naruszenia. Dlatego uznał, że naruszenie nie wiąże się z ryzykiem naruszenia praw lub wolności osób nim dotkniętych. Prezesa UODO podkreślił przy tym, że Administrator przewidział jednak, że naruszenie może wiązać się z takim ryzykiem - świadczy o tym fakt zwracania się przez niego o przekazywanie sygnałów o ewentualnym nieuprawnionym wykorzystaniu udostępnionych danych osobowych

i grożenia konsekwencjami, z jakimi takie wykorzystanie danych może się wiązać (postępowanie dyscyplinarne, skreślenie z listy studentów, rozwiązanie stosunku pracy, zawiadomienie organów ścigania). Uzależnianie reakcji na zaistniałe naruszenie od ziszczenia się jego potencjalnych konsekwencji jest sprzeczne z zasadą, zgodnie z którą administrator ma przeciwdziałać konsekwencjom naruszenia lub minimalizować jego negatywne skutki (w sytuacji, gdy niezasadne jest już stosowanie środków im zapobiegających).

Organ wyjaśnił, że w przedmiotowej sprawie zaistniało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych przez tyle osób, ile miało do nich potencjalny dostęp. To jest co najmniej tyle osób, ile było zarejestrowanych na platformie, ponieważ z informacji, które wpłynęły do Urzędu wynika, że istniała "możliwość obejrzenia nagrania po uzyskaniu linku do Big Blue Button bez konieczności logowania". Złożone przez Administratora 24 września 2020 r. wyjaśnienia wskazują ponadto, że dostęp do przedmiotowych nagrań uzyskał szerszy niż zakładany przez Administratora krąg osób. Należy również podkreślić, że fakt ewentualnego otwierania pliku zawierającego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udostępniania prowadzi do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Zdaniem organu w wyniku przedmiotowego zdarzenia doszło do naruszenia poufności danych tych osób, które przystępując do egzaminów legitymowały się widocznymi na przedmiotowym nagraniu legitymacjami studenckimi lub dowodami osobistymi - w zakresie danych znajdujących się na tych dokumentach - to jest do naruszenia bezpieczeństwa prowadzącego do przypadkowego, nieuprawnionego ujawnienia danych tych osób, co w sposób jednoznaczny przesądza, że wystąpiło naruszenie ochrony danych osobowych. W opinii organu w niniejszej sprawie występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych, powołał się przy tym na wytyczne art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO. Nie ulega wątpliwości organu, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe - w niektórych przypadkach łącznie z numerem ewidencyjnym PESEL lub serią i nr dowodu osobistego - zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. W przedmiotowej sprawie doszło do ujawnienia nagrań, na których utrwalono wizerunki i głosy studentów, którzy w trakcie przystępowania do egzaminów okazywali celem weryfikacji swojej tożsamości legitymacje studenckie lub dowody osobiste, na których zawarte są wyżej wymienione dane osobowe - w niektórych przypadkach również numer ewidencyjny PESEL lub seria i nr dowodu osobistego w zestawieniu z pozostałymi danymi. Ponadto, poprzez udostępnienie tych nagrań osobom nieuprawnionym, doszło do ujawnienia innych danych, takich jak cyt.: "(...) informacje o grupie, roku studiów, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi". W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 RODO. Organ stwierdził, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 RODO oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Administratora tych przepisów.

Nakładając karę pieniężną, organ miał na uwadze przesłanki określone w art. 83 ust. 2 lit. a) i b) oraz lit. f) i g) RODO, które szczegółowo uzasadnił. Jak stwierdził Prezes UODO, ustalając wysokość administracyjnej kary pieniężnej, uwzględnił również działania podjęte przez Administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO). Wyjaśnił, że Administrator przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia i umożliwił im komunikację dzięki przeznaczonym do tego kanałom komunikacji. Wskazał również osobom mogącym mieć nieuprawniony dostęp do ujawnionych nagrań na możliwe konsekwencje dyscyplinarne i karne ich bezprawnego użycia. Takie działanie Administratora zasługuje, w ocenie organu, na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne ze spełnieniem obowiązku, o którym mowa w art. 34 RODO. W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Skargę na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego

w Warszawie wniósł Śląski Uniwersytet Medyczny w Katowicach.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie oraz podtrzymał dotychczasowe stanowisko.

Oddalając skargę, sąd I instancji wskazał, że nie ulega wątpliwości, że w niniejszej sprawie doszło do braku zgłoszenia przez Administratora faktu naruszenia danych osobowych uczestników egzaminów praktycznych z pediatrii organizowanych przez Katedrę i Klinikę [...] Uniwersytetu Medycznego w Katowicach, co stanowi naruszenie art. 33 ust. 1 RODO, a także naruszenie art. 34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. Istota problemu w niniejszej sprawie w zakresie art. 33 ust. 1 RODO sprowadza się do ustalenia, czy skarżący wykazał w toku niniejszego postępowania, że był zwolniony z powyższego obowiązku, ponieważ było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. W ocenie sądu, wbrew twierdzeniom skarżącego, że utrwalone na nagraniach dane osobowe były nieczytelne lub mało czytelne, należy przyjąć, że twierdzenia te w żaden sposób nie uzasadniają oceny ryzyka naruszenia praw lub wolności osób fizycznych, o którym mowa w art. 33 ust. 1 RODO. Zdaniem sądu organ prawidłowo uznał, że to czy dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną (w czym pomocne są między innymi odpowiednie programy komputerowe), w związku z czym skarżący, jako administrator danych osobowych studentów, powinien był wziąć pod uwagę sygnalizowane mu okoliczności a następnie ocenić, czy doszło do naruszenia ochrony danych osobowych, jaka była jego skala oraz czy potencjalnie wiązało się ono z ryzykiem naruszenia praw lub wolności podmiotów, których dane udostępniono, a także, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych przez skarżącego wyjaśnień, uznał on, że ryzyko naruszenia praw lub wolności było mało prawdopodobne.

W ocenie sądu w wyniku odnotowanego zdarzenia doszło do naruszenia poufności danych studentów UM, którzy przystępując do egzaminów legitymowali się widocznymi na nagraniu legitymacjami studenckimi lub dowodami osobistymi -

w zakresie danych znajdujących się na tych dokumentach - to jest do naruszenia bezpieczeństwa prowadzącego do przypadkowego, nieuprawnionego ujawnienia danych tych osób, co w sposób jednoznaczny przesądza, że wystąpiło naruszenie ochrony danych osobowych. Naruszenie poufności danych, jakie wystąpiło

w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na udostępnieniu na platformie [...] nagrań obrazujących przebieg egzaminów praktycznych, w trakcie przystępowania do których większość uczestniczących w nich studentów została wylegitymowana legitymacją studencką lub dowodem osobistym, w wyniku czego doszło do naruszenia poufności danych tych studentów w zakresie danych znajdujących się na legitymacji studenckiej lub dowodzie osobistym, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 tego rozporządzenia oraz zawiadomienia tych osób o naruszeniu zgodnie z art. 34 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 tego rozporządzenia. Dla powyższej oceny nie ma wpływu to, czy plik zawierający nagranie obrazujące przebieg przedmiotowych egzaminów został pobrany przez dwadzieścia sześć osób, którą to liczbę wskazuje Administrator w złożonych wyjaśnieniach. Nie ma bowiem pewności, że plik ten nie został następnie udostępniony innym nieuprawnionym odbiorcom, przy czym administrator nie może obarczać odpowiedzialnością za naruszenie osób, którym udostępniono te nagrania - w omawianym przypadku nie budzi wątpliwości to, że to właśnie zaniechania skarżącego doprowadziły do naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób nim dotkniętych. Nawet gdyby przyjąć, że możliwość zapoznania się z danymi osobowymi, które obrazuje udostępnione nagranie, miało tylko ww. dwadzieścia sześć osób, to fakt pozostawania tych osób w jakimikolwiek związku z Administratorem nie daje żadnych gwarancji co do intencji tych osób, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem.

Zdaniem sądu I instancji z ustaleń poczynionych w niniejszej sprawie wynika, że skarżący nie rozpatrzył odnotowanego zdarzenia upublicznienia nagrań obrazujących przebieg egzaminów z punktu widzenia ryzyka naruszenia praw lub wolności człowieka, które niewątpliwie zaistniało. Doszło bowiem do "wycieku" danych studentów przystępujących do egzaminów, o czym administrator miał wiedzę i nie podjął stosownych czynności, określonych w przepisach art. 33 ust. 1 oraz art. 34 ust. 1 RODO. W konsekwencji stwierdził, że skarżący nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 RODO oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co stanowi o naruszeniu przez skarżącego wspomnianych przepisów. Sąd powołał się na art. 34 ust. 4 i art. 58 ust. 2 lit. e) i i) RODO. Wskazał, że Prezes UODO szczegółowo wyjaśnił powody nałożenia na skarżącego kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) RODO w przyjętej wysokości. Decydując o nałożeniu na skarżącego administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) RODO - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej. Co istotne, ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również działania podjęte przez skarżącego w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c RODO). Administrator przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia i umożliwił im komunikację dzięki przeznaczonym do tego kanałom komunikacji. Wskazał również osobom mogącym mieć nieuprawniony dostęp do ujawnionych nagrań na możliwe konsekwencje dyscyplinarne i karne ich bezprawnego użycia. Z kolei bez wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, organ uznał, wskazane w art. 83 ust. 2 RODO okoliczności. W ocenie sądu I instancji zastosowana przez organ administracyjna kara pieniężna spełnia, w ustalonych okolicznościach rozpatrywanej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Zdaniem sądu kara pieniężna w wysokości 25000 zł spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki i mieści się w ustawowym limicie 100000 zł.

Wojewódzki Sąd Administracyjny w Warszawie, działając na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.; dalej "p.p.s.a."), oddalił skargę.

Skargę kasacyjną od powyższego wyroku wywiódł Śląski Uniwersytet Medyczny w Katowicach, zaskarżając wyrok w całości. Wniósł o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania sądowi I instancji. Nadto wniósł o rozpoznanie sprawy na rozprawie i zasądzenie zwrotu kosztów postępowania. Zaskarżonemu wyrokowi zarzucił naruszenie:

I. przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.:

1. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. mające wpływ na rozstrzygniecie, poprzez niepełną i błędną analizę stanu faktycznego dokonaną przez sąd I Instancji, co spowodowało, iż przyjął on nieprawidłowo, jako podstawę rozstrzygnięcia stan faktyczny ustalony przez organ - Prezesa UODO (błąd w ustalaniach faktycznych), tj. uznał, że w niniejszej sprawie doszło do wysokiego ryzyka naruszenia praw lub wolności osób objętych zaistniałym zdarzeniem naruszenia danych osobowych lub prawdopodobieństwem by naruszenie to skutkowało takim ryzykiem, co wiązało się z koniecznością zgłoszenia incydentu utraty danych osobowych w terminie 72 godzin organowi, pomijając jednak całkowicie przeprowadzoną przez Administratora Danych - skarżącego - analizę ryzyka zdarzenia oraz wyprowadzone w oparciu o nią wnioski i ustalenia (marginalizując w zasadzie znaczenie analizy ryzyka), w tym że czytelność zarejestrowanych w formie zapisu video dokumentów tożsamości studentów są nieczytelne w stopniu znacznym oraz fakt pobrania linku do zapisu video wyłącznie przez 26 osób, w tym 3 nauczycieli akademickich i 23 studentów, którzy należą do społeczności akademickiej i na których z mocy odrębnych przepisów ciążą określone obowiązki, co skutkuje zaliczeniem tych osób do kręgu "osób zaufanych", co faktycznie wyłącza możliwość powstania prawdopodobieństwa ryzyka naruszenia ww. dóbr osób, których dane objęło zdarzenie stanowiące incydent danych osobowych, a tym bardziej wysokiego ryzyka naruszenia tych dóbr, a w konsekwencji brak dokonania ustaleń faktycznych uwzględniając indywidualny charakter sprawy i poprzestając wyłącznie na ocenie o charakterze abstrakcyjnym przesłanek wystąpienia wysokiego ryzyka naruszenia praw lub wolności i prawdopodobieństwa by naruszenie to skutkowało takim ryzykiem, tj. w oderwaniu od realiów niniejszej sprawy;

2. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. mające wpływ na rozstrzygniecie, poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie przez sąd I Instancji za organem - Prezesem UODO, że "to czy dane mogły być częściowo czytelne nie wyklucza możliwości zapoznania się z nimi przez osobę nieuprawnioną (w czym pomocne są między innymi odpowiednie programy komputerowe)", w sytuacji kiedy rzetelna oraz swobodna ocena całokształtu zebranego w sprawie materiału dowodowego a zawartego w aktach postępowania i ustalony prawidłowo stan faktyczny, nie potwierdzają zasadności tak kategorycznego oraz jednoznacznego twierdzenia wyroku sądu I Instancji, gdyż analiza materiału dowodowego prowadzi właśnie do odwrotnego stanowiska, a co najmniej rodzi wątpliwości co do czytelności ujawnionych dokumentów oraz zakresu danych na nich znajdujących się, co uzasadniało przyjęcie przez skarżącego, że ryzyko naruszenia praw lub wolności było mało prawdopodobne, jak również z drugiej strony obowiązek organu do podjęcia dalszego postępowania dowodowego, w celu właściwego wykazania, że wbrew twierdzeniom analizy ryzyka dane te są czytelne w stopniu umożliwiających zapoznanie się z ich treścią, jak również że zakres danych na awersach ukazywanych dokumentów prowadzą do powstania wysokiego ryzyka naruszenia praw i wolności studenta prawdopodobieństwa by naruszenie to skutkowało takim ryzykiem;

3. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. w zw. z art. 84 § 1, art. 77 § 1 i art. 80 k.p.a. mające wpływ na rozstrzygniecie, poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie przez sąd I Instancji za organem - Prezesem UODO, że jakość utrwalonego materiału filmowego, umożliwia odczytanie danych z okazywanych dokumentów przez studentów za pomocą bliżej nieokreślonych programów komputerowych, w sytuacji kiedy ani organ ani sąd I Instancji nie mają wiadomości specjalnych w dziedzinie informatyki, w tym grafiki komputerowej i obróbki cyfrowej zdjęć/filmów, aby tak kategoryczne wnioski formułować, a tym samym zastępować wiadomości specjalnych swoimi doświadczeniami zawodowymi czy życiowymi, a co doprowadziło sąd do akceptacji wadliwości postępowania administracyjnego prowadzonego przed organem i utrzymaniem w mocy zaskarżonej decyzji administracyjnej wydanej na podstawie niepełnego materiału dowodowego bez powołania biegłego z zakresu obróbki cyfrowej obrazu i grafiki komputerowej, w celu ustalenia czy faktycznie istniała techniczna, a zatem realna możliwość odczytania i wykorzystania danych z dokumentów ujawnionych na nagraniach pobranych w związku z zaistniałym incydentem bezpieczeństwa, a tym samym nieuprawnione zastępowanie przez sąd I Instancji wniosków wymagających wiedzy specjalnej, własnymi wnioskami i twierdzeniami, w sytuacji kiedy takich wiadomości specjalnych nie posiada, a okoliczności realnego i faktycznego zagrożenia wykorzystania danych znajdujących się na przedmiotowych dokumentach są kluczowe dla oceny powstania po stronie administratora obowiązku informacyjnego, o którym mowa w art. 33 ust. 1 RODO oraz powstania wysokiego ryzyka naruszenia praw i wolności studentów lub prawdopodobieństwa by naruszenie to skutkowało takim ryzykiem, a ponadto brak odniesienia się w ogóle przez sąd I Instancji do tego zarzutu skargi w treści uzasadnienia zaskarżonego wyroku, co niejako wyklucza możliwość dokonania oceny zasadności wyroku w tej części, gdyż brak jest stanowiska sądu I Instancji dlaczego zarzut ten nie zasługiwał na uwzględnienie;

4. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. mające wpływ na rozstrzygniecie, poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie przez sąd I Instancji, że skarżący poprzez przekazywanie "sygnałów o ewentualnym nieuprawnionym wykorzystaniu udostępnionych danych osobowych i grożenia konsekwencjami, z jakimi takie wykorzystanie danych może się wiązać" niejako przyznał istnienie ryzyka naruszenia praw lub wolności studentów i w związku z tym był zobowiązany do zgłoszenia incydentu bezpieczeństwa organowi, przy czym prawidłowa, rzetelna i swobodna ocena zebranego w sprawie materiału dowodowego prowadzi do wniosku, że działania podjęte przez skarżącego w powyższym zakresie miały miejsce w początkowej fazie analizy ryzyka istnienia wysokiego zagrożenia w związku z przedmiotowym zdarzeniem, i nie potwierdzają aby skarżący już wtedy miał wiedzę o tym, że analiza ryzyka potwierdzi istnienie tego zagrożenia, a jedynie była reakcją na samo udostępnienie danych i wiązało się także z obowiązkami jakie ciążą na studentach jako część społeczności akademickiej, m.in. ze złożonym ślubowanie oraz regulacjami prawa karnego dotyczącego nieuprawnionego ujawniania danych osobowych, w tym także dalsze ujawnienie niż to pierwotne;

5. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. mające wpływ na rozstrzygniecie, poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie przez sąd I Instancji, że skarżący nie może "obarczać odpowiedzialnością za naruszenie osób, którym udostępniono te nagrania - w omawianym przypadku nie budzi wątpliwości to, że to właśnie zaniechania skarżącego doprowadziły do naruszenia ochrony danych osobowych, z którym wiąże się ryzyko", w sytuacji kiedy prawidłowa, rzetelna i swobodna ocena zebranego w sprawie materiału dowodowego wskazuje na to, że skarżący nie przeczy udostępnieniu danych i wejściu w ich posiadanie przez 26 osób, ale na to, że osoby te nie miały prawa pobrać tych materiałów, a w sytuacji kiedy nawet nie miały o tym wiedzy, że pobranie nie jest dopuszczalne to, że dalsze czynności skarżącego, w tym przesyłane pisma wskazywały jedynie, że osoby, które dalej udostępniają dane, czynić to będą bezprawnie, a fakt wejścia w ich posiadanie z zaniechania administratora danych, tego ich działania nie ekskulpuje, a ponadto w żaden sposób to działanie skarżącego nie miało przenieść odpowiedzialności za zdarzenie pierwotnego udostępnienia danych na studentów, co oczywiste jest nieuprawnione;

6. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. mające wpływ na rozstrzygniecie, poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie przez sąd I Instancji, że dane nie zostały udostępnione tylko 26 osobom, w tym 3 nauczycielom akademickim oraz 23 studentom skarżącego, a większej nieustalonej liczbie osób, w sytuacji kiedy ww. 26 osoby są identyfikowalne przez administratora danych i stanowią one osoby zaufane, które jako destynatariusze zakładu Śląskiego Uniwersytetu Medycznego w Katowicach - mają obowiązek postępować zgodnie z treścią ślubowania i przepisami obowiązującymi w uczelni - studenci art. 107 ust. 1 ustawy Prawo o szkolnictwie wyższym i nauce (Dz. U. 2021, poz. 478 t.j. z późn. zm.), a nauczyciele akademiccy, jako funkcjonariusze publiczni, zgodnie także z łączącym ich z uczelnią stosunkiem pracy, w tym także obie te grupy z przepisami powszechnie obowiązującymi, co w konsekwencji ogranicza wystąpienie wysokiego ryzyka naruszenia praw i wolności studentów i prawdopodobieństwo by naruszenie to skutkowało takim ryzykiem, co uzasadnia stanowisko skarżącego zaprezentowane w analizie ryzyka;

7. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. oraz art. 151 p.p.s.a. mające wpływ na rozstrzygniecie, poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie przez sąd I Instancji, że "jak wynika natomiast z ustaleń poczynionych w niniejszej sprawie, skarżący nie rozpatrzył odnotowanego zdarzenia upublicznienia nagrań obrazujących przebieg egzaminów z punktu widzenia ryzyka praw lub wolności człowieka, które niewątpliwie zaistniało", w sytuacji kiedy prawidłowa, rzetelna i swobodna ocena zebranego w sprawie materiału dowodowego prowadzi do odmiennych wniosków, gdyż skarżący właśnie dokonał pogłębionej analizy zaistniałego zdarzenia, w tym w kontekście zagrożenia naruszenia praw i wolności studentów, przy czym ocena ta wykazała w jego mniemaniu, że do udostępnienia danych doszło, ale zagrożenie naruszenia ww. praw nie jest wysokie, jak wymaga tego europejski ustawodawca, a co więcej błędne jest ustalenie sądu I Instancji, że do takiego wysokiego ryzyka "niewątpliwie doszło", gdyż materiał dowodowy na to nie wskazuje, a co najmniej jest on niepełny, by takie kategoryczne wnioski formułować;

8. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. w zw. z art. 83 ust. 1-3, art. 83 ust. 4 lit. a w zw. z art. 58 ust. 2 lit i RODO w związku z art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. 2019, poz. 1781) mające wpływ na rozstrzygniecie poprzez błąd w ustalaniach faktycznych sprawy i nieprawidłowe przyjęcie, że zastosowanie i wymierzenie skarżącemu pieniężnej kary administracyjnej w kwocie 25000 zł jest prawidłowe

i w pełni zasadne, w sytuacji kiedy prawidłowa, rzetelna i swobodna ocena zebranego w sprawie materiału dowodowego nie daje podstaw do jednoznacznego stwierdzenia, że skarżący dopuścił się naruszenia art. 33 ust. 1 i art. 34 ust. 1 RODO, których naruszenie skutkowałoby zasadnością nałożenia sankcji finansowej na skarżącego i akceptami w tym zakresie stanowiska organu;

9. art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. w zw. z art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a, b i f RODO w zw. z art. 8 § 1 k.p.a. mające wpływ na rozstrzygniecie, polegające na wymierzeniu skarżącemu pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia:

a. uznając błędnie wbrew wnioskom wynikającym z prawidłowej, rzetelnej i

swobodnej oceny zebranego materiału dowodowego, że w niniejszej sprawie naruszenie miało znaczną wagę i poważny charakter, w sytuacji kiedy jakość utrwalonego materiału filmowego, wyklucza możliwość odczytania danych na okazanych dokumentach, a tym samym powstanie szkód majątkowych w przyszłości i wysokiego ryzyka naruszenia praw i wolności studentów lub i prawdopodobieństwo by naruszenie to skutkowało takim ryzykiem istniało; akceptacji nieprawidłowego ustalenia stan faktycznego przez organ i przyjęcia długiego czasu trwania naruszenia ze względu na brak powiadomienia przez administratora osób oraz organu, a także błędne przyjęcie, że ujawnienie dokumentów nastąpiło w zakresie 156 studentów (6 osób x 26 grup studenckich), w sytuacji kiedy nie wszyscy okazywali na nagraniach dokumenty tożsamości;

b. pomijając okoliczności, że skarżący dokonał szczegółowej analizy ryzyka, wykonał poprawki w systemie informatycznym, a wynik tej analizy nie wykazał aby zagrożenie miało charakter realny w niniejszej sprawie, w sytuacji, w której skarżący działał w oparciu o wyjątek od obowiązku zawiadomienia organu, przewidziany w art. 33 ust. 1 RODO, co nie może być uznane za świadome (umyślne) naruszenie tego obowiązku, skoro ustawodawca europejski administratorowi przyznaje kompetencje do oceny ryzyka naruszenia praw i wolności osób fizycznych w związku z zaistniałym incydentem bezpieczeństwa właśnie administratorowi danych;

c. uznając błędnie, że współpraca skarżącego była "niezadowalająca", w sytuacji kiedy analiza materiału dowodowego w niniejszej sprawie oraz w sprawach indywidualnych skarg prowadzi do zgoła odmiennego wniosku, że skarżący dołożył należytej staranności i terminowości w kontakcie z organem i nie uchybił swoim obowiązkom w tym zakresie, przyczynił się do przeprowadzenia postępowania dowodowego oraz przedstawił wszelkie niezbędne dokumenty i informacje; niezasadnym uznaniu za okoliczność obciążającą skarżącego w zakresie braku współpracy z organem, w sytuacji, w której skarżący działał w oparciu o wyjątek od obowiązku podania informacji osobom, których dane dotyczą i zgłoszenia incydentu bezpieczeństwa do organu, a przewidziany w art. 33 ust. 1 RODO, a zarazem działania skarżącego w przekonaniu, że nie występuje jakiekolwiek wysokie ryzyko naruszenia praw i wolności studentów lub i prawdopodobieństwo by naruszenie to skutkowało takim ryzykiem, wobec czego Organ nie powinien był potraktować jego postawy jako okoliczności obciążającej i wpływającej na wymiar kary;

10. mając na uwadze naruszenia z punktów 8 i 9 powyżej art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. w zw. z art. 83 ust. 1 i 2 i art. 84 ust. 1 RODO w związku z art. 8 § 1 k.p.a. mające wpływ na zapadłe rozstrzygnięcie, polegające na błędnym ustaleniu faktycznym, że wymierzona kara uwzględnia dyrektywy indywidualizacji jej wymiaru, właściwą ocenę całokształtu okoliczności sprawy i jest ona proporcjonalna, skuteczna oraz odstraszająca, a także błędne przyjęcie przez sąd I Instancji, wbrew zebranemu materiału dowodowemu, że zastosowanie kary okazało się "[...] niezbędne, zważywszy także na to, że skarżący zignorował fakt, iż do naruszenia ochrony danych dochodzi zarówno wówczas, gdy do zdarzenia dojedzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność", co nie znajduje potwierdzenia w materiale dowodowym, gdyż skarżący na żadnym etapie prowadzenia postępowania w związku z zaistniałym incydentem bezpieczeństwa nie ignorował powstałego udostępnienia danych i ma świadomość, że do zdarzenia udostępnienia danych może dojść także w sposób nieumyślny, a jedynie w wyniku przeprowadzenia analizy ryzyka przedmiotowego zdarzenia uznał, że nie zachodzi wysokie ryzyko naruszenia praw i wolności studentów i prawdopodobieństwo by naruszenie to skutkowało takim ryzykiem, co nie może być postrzegane jak zachowanie polegające na "ignorowaniu" zaistniałego incydentu, a tym samym nieuzasadnionego nałożenia kary administracyjnej w ogóle na skarżącego, a na pewno w nieproporcjonalnej wysokości;

II. naruszenie przepisów prawa materialnego, tj.:

1. naruszenie przepisów prawa materialnego mające istotny wpływ na wydanie zaskarżonego wyroku, tj. art. 33 ust. 1 RODO poprzez błędną wykładnię i przyjęcie, że obowiązek administratora danych osobowych do zgłoszenia zaistniałego incydentu naruszenia danych osobowych aktualizuje się z chwilą samego wystąpienia zdarzenia w postaci tego naruszenia, bez uwzględniania faktycznego i realnego istnienia ryzyka w naruszeniu dóbr wskazanych w tym przepisie w danej konkretnej sprawie, tj. w oderwaniu od stanu faktycznego tej sprawy, a w konsekwencji dokonania wykładni ww. normy in abstracto z pominięciem przeprowadzonej przez skarżącego analizy prawdopodobieństwa wystąpienia wskazanego ryzyka, w sytuacji kiedy prawidłowa wykładnia funkcjonalna prowadzi do wniosku, że użyte przez ustawodawcę europejskiego zastrzeżenie "chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych", wiąże się samo w sobie z tym, iż ocena tego prawdopodobieństwa należy do administratora danych i to on ma z jednej stron obowiązek przeprowadzenia analizy ryzyka i wykazania jakimi kierował się przesłankami uznając, że prawdopodobieństwo to było znaczne albo małe w stopniu uzasadniającym odstąpienie od zawiadomienia, a po wtóre stanowi to jego uprawnienie, którego organ nie może kwestionować w szczególności, że w toku postępowania wyjaśniającego organ nie zasygnalizował, że oczekuje formalnego zgłoszenia naruszenia w trybie art. 33 ust. 1 ww. RODO, bo w jego ocenie analiza przeprowadzona przez skarżącego była w tej materii błędna;

2. naruszenie przepisów prawa materialnego mające istotny wpływ na wydanie zaskarżonej decyzji, tj. art. 33 ust. 1 RODO poprzez błędną wykładnię i przyjęcie, że to ocena zaistniałego zdarzenia dokonana przez organ nadzorczy decyduje o zaistnieniu obowiązku zgłoszenia mu incydentu naruszenia danych osobowych, w sytuacji kiedy wykładnia funkcjonalna ww. normy kreuje prawo i obwiązek oceny ryzyka zagrożenia takiego naruszenia dla wolności i praw osób fizycznych wyłącznie administratorowi danych, i to ta ocena stanowi podstawę dalszych działań jakie administrator ten podejmie - obowiązkiem jest dokonanie takiej oceny, a tym samym wystąpienie po stronie skarżącego w rozpatrywanej sprawie zwłoki w powiadomieniu organu, złożeniu wyjaśnień organowi nadzorczemu w przedmiotowym zakresie;

3. naruszenie przepisów prawa materialnego mające istotny wpływ na wydanie zaskarżonej decyzji, tj. art. 34 ust. 1 RODO poprzez błędną wykładnię i przyjęcie, że obowiązek administratora danych osobowych do zgłoszenia zaistniałego incydentu naruszenia danych osobowych oraz zawiadomienia osób, których dane dotyczą aktualizuje się z chwilą samego wystąpienia zdarzenia w postaci tego naruszenia, bez uwzględniania faktycznego i realnego istnienia ryzyka i to wysokiego w naruszeniu dóbr wskazanych w tym przepisie w danej konkretnej sprawie, tj. w oderwaniu od stanu faktycznego tej sprawy, a w konsekwencji dokonania wykładni ww. normy in abstracto z pominięciem przeprowadzonej przez skarżącego analizy prawdopodobieństwa wystąpienia wskazanego ryzyka, w sytuacji kiedy prawidłowa wykładnia funkcjonalna prowadzi do wniosku, że użyte przez ustawodawcę europejskiego zastrzeżenie "wysokie ryzyko", wiąże się samo w sobie z tym, iż ocena stopnia tego ryzyka należy do administratora danych i to on ma z jednej stron obowiązek przeprowadzenia analizy ryzyka i wykazania jakimi kierował się przesłankami uznając, że prawdopodobieństwo to było wysokie albo niższe w stopniu uzasadniającym odstąpienie od zawiadomienia organu i osób zainteresowanych, a po wtóre stanowi to jego uprawnienie, którego organ nie może kwestionować w szczególności, że materiał dowodowy zebrany w sprawie w ocenie skarżącego nie jest pełny i nie wskazuje na wystąpienie wysokiego ryzyka, a mimo to skarżący dokonał prewencyjnego zawiadomienia studentów.

W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje.

Stosownie do art. 183 § 1 p.p.s.a. Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Wobec tego Naczelny Sąd Administracyjny przeszedł do zbadania zarzutów kasacyjnych.

Skarga kasacyjna nie zasługiwała na uwzględnienie.

Skarżący kasacyjnie zarzucił zaskarżonemu orzeczeniu naruszenie zarówno przepisów prawa materialnego, jak też przepisów postępowania. W takiej sytuacji, co do zasady, jako pierwsze podlegają rozpatrzeniu zarzuty naruszenia przepisów postępowania, gdyż weryfikacja prawidłowości wykładni lub zastosowania przepisów prawa materialnego, dokonana przez sąd I instancji, jest możliwa jedynie w przypadku stwierdzenia braku uchybień natury procesowej, mogących mieć istotny wpływ na treść rozstrzygnięcia.

W ramach podstawy z art. 174 pkt 2 p.p.s.a. autor skargi kasacyjnej podniósł 10 zarzutów, w tym zarzut 9. rozbudowany wewnętrznie na trzy podpunkty. Istota zarzutów procesowych sprowadza się do zakwestionowania ustaleń faktycznych przyjętych przez sąd I instancji za podstawę poddanego kontroli instancyjnej wyroku. Wola wzruszenia ustaleń faktycznych została wyrażona w sposób niebudzący wątpliwości. Wszystkie zarzuty oparte zostały o naruszenie przepisów art. 134 § 1 w zw. z art. 133 § 1 i art. 141 § 4 p.p.s.a. W każdym z zarzutów dodatkowo wskazano dodatkowe przepisy, które miały zostać naruszone obok wyżej podanych oraz wskazano skonkretyzowane działanie sądu, które miało doprowadzić do naruszenia przepisów. Zarzuty te są nieuzasadnione. W pierwszym rzędzie nastąpi odniesienie się do wspólnej podstawy prawnej wszystkich zarzutów, a następnie do podstaw prawnych odrębnych podanych w każdym z zarzutów.

Zgodnie z przepisem art. 174 pkt 1 i 2 naruszenie prawa przez sąd może polegać na błędnej jego wykładni lub niewłaściwym zastosowaniu. W pierwszym przypadku obowiązkiem autora skargi kasacyjnej jest wskazanie na czym polega błąd wykładni i jako winna być jego prawidłowa wykładnia. W drugim przypadku konieczne jest wskazanie na czym polegało niewłaściwe zastosowanie prawa i jak prawidłowo powinien przebiegać proces podciągnięcia ustalonego faktu pod stosowaną normę materialną. Rozpoznawana skarga kasacyjna, w odniesieniu do zarzutów formalnych, uchybia temu obowiązkowi, co zasadniczo jest wystarczającym powodem jej bezzasadności, gdyż na skutek tego błędu nie doszło do wyznaczenia zakresu kontroli instancyjnej Naczelnemu Sądowi Administracyjnemu. Nie są to jednak jedyne uchybienia, które pozbawiają skargę kasacyjną zasadność.

Zgodnie z art. 134 § 1 p.p.s.a. sąd rozstrzyga w granicach danej sprawy nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną. Przepis ten określa granice rozpoznania skargi przez sąd administracyjny pierwszej instancji, nakładając na niego obowiązek zbadania w pełnym zakresie treści zaskarżonego aktu pod względem jego zgodności z prawem. Pojęcia sprawy, o jakiej mowa w tym przepisie, należy łączyć z pojęciem sprawy administracyjnej, o której mowa w art. 1 pkt 1 k.p.a. Konstrukcja sprawy administracyjnej oparta jest na dwóch filarach: normatywnym i realnym. Elementami normatywnymi każdej sprawy administracyjnej jest, po pierwsze norma kompetencyjna uprawniająca organ do konkretyzacji prawa materialnego (J. Filipek, O podmiotowości administracyjno-prawnej, PiP 1961 nr 2, s. 199 i nast.; J. Borkowski, Zagadnienie kompetencji ogólnej i szczególnej w prawie administracyjnym, SP 1971/31, s. 64), po drugie norma materialnego prawa administracyjnego, która ma zostać w sprawie zastosowana w drodze aktu administracyjnego ze względu na określone okoliczności faktyczne określone w jej treści. Do elementów realnych sprawy administracyjnej zalicza się podmiot czynny (organ, na którym ciąży obowiązek podjęcia czynności jurysdykcyjnych) i podmiot bierny, którego uprawnienia i obowiązki mają zostać autorytatywnie skonkretyzowane (J. Zimmermann, Polska jurysdykcja administracyjna, Warszawa 1996, s. 37, 63). Elementami realnymi sprawy są także fakty sprawy, tj. stan faktyczny, od którego zależy możliwość podjęcia decyzji stosowania prawa i stan faktyczny, od którego zależy treść rozstrzygnięcia (J. Zimmermann, Polska jurysdykcja administracyjna, Warszawa 1996, s. 90).

Przepis ten określa zatem granice rozpoznania skargi przez sąd administracyjny pierwszej instancji, zaś granice danej sprawy wyznacza w pierwszym rzędzie jej przedmiot wynikający z treści zaskarżonego działania organu administracji publicznej. Oznacza to, że o naruszeniu normy wynikającej z powyższego przepisu można byłoby mówić, gdyby sąd wykroczył poza granice sprawy, w której została wniesiona skarga, albo – mimo wynikającego z tego przepisu obowiązku – nie wyszedł poza zarzuty i wnioski skargi, np. nie zauważając naruszeń prawa, które nie były powołane przez skarżącego, a które sąd I instancji zobowiązany był uwzględnić z urzędu. W ramach zarzutu naruszenia art. 134 § 1 p.p.s.a. nie można kwestionować dokonanej przez sąd oceny ustalonego stanu faktycznego z punktu widzenia jego zgodności lub niezgodności z mającym zastosowanie w sprawie stanem prawnym, czy też prawidłowości dokonanej przez sąd oceny działań organu administracji publicznej pod kątem zachowania przepisów procedur obowiązujących ten organ, tj. poprawności ustaleń faktycznych (por. m. in. wyrok NSA z 25 marca 2011 r., I FSK 1862/09; wyrok NSA z 11 kwietnia 2007 r., II OSK 610/06; postanowienie NSA z 11 stycznia 2012 r., I OSK 2438/11; wyrok NSA z 15 października 2015 r., I GSK 241/14). W ramach zarzutu naruszenia art. 134 § 1 p.p.s.a. nie można także kwestionować prawidłowości zajętego stanowiska prawnego i wyrażonych w uzasadnieniu zaskarżonego wyroku poglądów (por. wyrok NSA z 2 lipca 2015 r., I OSK 450/15), ani prawidłowości oceny materiału dowodowego (por. wyrok NSA z 21 października 2010 r., I GSK 264/09).

Naczelny Sąd Administracyjny stoi na stanowisku, iż sąd I instancji orzekał w granicach sprawy administracyjnej w powyższym rozumieniu, gdyż przedmiotem kontroli uczynił sprawę zakreśloną granicami formalnymi i normatywnymi w decyzji Prezesa UODO z 5 stycznia 2021 r. W tym sensie nie doszło do naruszenia przepisu art. 134 § 1 p.p.s.a. Zauważyć jednocześnie należy, iż zarzut naruszenia tego przepisu został podniesiony w celu zakwestionowania decyzji dowodowej sądu I instancji, a więc decyzji w przedmiocie stanu faktycznego, jaki przyjął za podstawę wyrokowania. Przepis art. 134 § 1 p.p.s.a. nie może służyć tym celom, co czyni go nieuzasadnionym.

Zgodnie z art. 133 § 1 p.p.s.a. "sąd wydaje wyrok po zamknięciu rozprawy na podstawie akt sprawy, chyba że organ nie wykonał obowiązku, o którym mowa w art. 54 § 2. Wyrok może być wydany na posiedzeniu niejawnym w postępowaniu uproszczonym albo jeżeli ustawa tak stanowi". Orzekanie "na podstawie akt sprawy" oznacza, że sąd przy ocenie legalności decyzji bierze pod uwagę okoliczności, które z akt tych wynikają i które legły u podstaw zaskarżonego aktu. Podstawą orzekania przez sąd administracyjny jest zatem materiał dowodowy zgromadzony przez organ administracji publicznej w toku postępowania. Skoro wyrok wydawany jest na podstawie akt sprawy, to tym samym badając legalność zaskarżonej decyzji sąd ocenia jej zgodność z prawem materialnym i procesowym w aspekcie całości zgromadzonego w postępowaniu administracyjnym materiału dowodowego (por. wyrok NSA z 9 lipca 2008 r., II OSK 795/07). Podstawą orzekania sądu jest zatem materiał zgromadzony przez organy w toku całego postępowania przed tymi organami oraz przed sądem (uwzględniając treść art. 106 § 3 p.p.s.a.). Wskazany wyżej przepis mógłby zostać naruszony, gdyby sąd wyszedł poza ten materiał i dopuścił na przykład w postępowaniu sądowym dowód z przesłuchania świadków. Obowiązek wydania wyroku na podstawie akt sprawy oznacza bowiem jedynie zakaz wyjścia poza materiał znajdujący się w aktach sprawy (por. wyrok NSA z 7 marca 2013 r., II GSK 2374/11).

Należy odróżnić poddanie sądowej kontroli działalności administracji publicznej na podstawie innego materiału niż akta sprawy od wydania wyroku na podstawie akt sprawy, z przyjęciem np. odmiennej oceny materiału dowodowego zawartego w tych aktach (por. wyrok NSA z 5 kwietnia 2012 r., I OSK 1749/11). Nie jest naruszeniem art. 133 § 1 p.p.s.a. zaakceptowanie przez sąd jako zgodnej z przepisami postępowania oceny materiału dowodowego oraz przyjęcia za prawidłowe ustaleń faktycznych będących konsekwencją tej oceny nawet, gdyby nie uwzględniało ono całości materiału dowodowego (por. wyrok NSA z 13 maja 2008 r., II FSK 419/0). W ramach zarzutu art. 133 § 1 p.p.s.a. nie można też skutecznie kwestionować dokonanej przez sąd oceny zaskarżonej decyzji – również z punktu widzenia poprawności uzasadnienia faktycznego i prawnego decyzji - oraz innych dokumentów, o ile dokumenty te znajdują się w materiale zgromadzonym w aktach sprawy. Przepis art. 133 § 1 p.p.s.a. nie może służyć kwestionowaniu oceny materiału dowodowego, jak i ustaleń i oceny ustalonego w sprawie stanu faktycznego dokonanych przez sąd I instancji, z którą nie zgadza się organ administracji publicznej (por. wyroki NSA z: 9 listopada 2011 r., I OSK 1350/11; 17 listopada 2011 r., II OSK 1609/10). Z przepisu tego wynika więc nakaz wyprowadzania oceny prawnej na gruncie faktów i dowodów znajdujących odzwierciedlenie w aktach sprawy (por. wyroki NSA z: 26 maja 2010 r., I FSK 497/09; 19 października 2010 r., II OSK 1645/09; 5 czerwca 2012 r., II OSK 763/12). Rozpoznawany zarzut został podniesiony właśnie w celu zakwestionowania stanu faktycznego, co czyni go nieuzasadniony.

Przepis art. 141 § 4 p.p.s.a. jest przepisem proceduralnym, regulującym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi z powyższej normy prawnej. O naruszeniu tego przepisu można mówić w przypadku, gdy uzasadnienie zaskarżonego wyroku nie spełnia jednego z ustawowych, wymienionych w jego treści warunków. Wyrok sądu I instancji nie będzie poddawał się kontroli sądowoadministracyjnej w przypadku braku wymaganych prawem części (np. nieprzedstawienia stanu sprawy, czy też niewskazania lub niewyjaśnienia podstawy prawnej rozstrzygnięcia), a także wówczas, gdy będą one co prawda obecne, niemniej jednak obejmować będą treści podane w sposób niejasny, czy też nielogiczny, uniemożliwiający jednoznaczne ustalenie stanu faktycznego i prawnego, stanowiącego podstawę kontrolowanego wyroku sądu (por. wyroki NSA z 15 czerwca 2010 r., II OSK 986/09; z 12 marca 2015 r., I OSK 2338/13, publik. CBOSA). Uzasadnienie zaskarżonego wyroku zawiera przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowiska strony przeciwnej, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Z wywodów sądu wynika, dlaczego w jego ocenie nie doszło do naruszenia prawa wskazanego w skardze i jaki stan faktyczny przyjął za podstawę orzekania. sąd I instancji w dostateczny sposób wyjaśnił motywy podjętego rozstrzygnięcia. Polemika z oceną prawidłowości uzasadnienia decyzji administracyjnej dokonaną przez sąd nie może sprowadzać się do zarzutu naruszenia powołanego przepisu, gdyż przepis art. 141 § 4 p.p.s.a. służy ocenie poprawności uzasadnienia wyroku sądu I instancji. Dodatkowo zauważyć należy, iż autor skargi kasacyjnej wskazuje na naruszenia art. 141 § 4 p.p.s.a. celem wzruszenia ustaleń faktycznych przyjętych za podstawę wydania wyroku. Przepis ten nie może służyć tym celom. Uzasadnienie wyroku jest sporządzane już po jego wydaniu. Ma zatem wtórny charakter. Decyzję dowodową, z której wynika stan faktyczny, przyjmowany za podstawę orzeczenia Sąd podejmuje zaś na naradzie poprzedzającej wyrokowania. Jest to więc wcześniejszy etap czynności procesowych sądu. Ze względu na chronologie czynności procesowych sądu zarzut naruszenia art. 141 § 4 p.p.s.a. a limine nie może służyć wzruszeniu ustaleń fatycznych sądu. Tym samym zarzut w zakresie naruszenia art. 141 § 4 p.p.s.a. należało uznać za niezasadny.

Naruszenie powyższych przepisów stanowiło rdzeń każdego z zarzutów od 1. do 10. Naruszenie wszystkich innych pozostawało jedynie w związku z rdzeniem każdego zarzutu w postaci naruszenia art. 134 § 1, art. 133 § i art. 141 § 4 p.p.s.a. W zarzutach 1., 2., 3.-7. Jako dodatkowo naruszony wskazano przepis art. 151 p.p.s.a. Zarzut naruszenia tego przepisu jest także nieuzasadniony. Jest to przepis ogólny (blankietowy), co oznacza, że powołując się na zarzut naruszenia tej normy skarżący kasacyjnie zobowiązany był powiązać go z zarzutem naruszenia konkretnych przepisów, którym uchybił sąd I instancji w toku rozpatrywania sprawy. Orzeczenie oddalające skargę nie jest bowiem skutkiem zastosowania jedynie art. 151 p.p.s.a., ale następstwem ustaleń poprzedzających wydanie wyroku i zastosowania przepisów nakładających na sąd I instancji obowiązek dokonania tego rodzaju ustaleń (por. wyrok Naczelnego Sądu Administracyjnego z 10 lutego 2017 r. II FSK 110/15). Wymogom tym w skardze kasacyjnej nie sprostano, gdyż inne przepisy wskazane w tych zarzutach okazały się nieuzasadnione. Brak wskazania lub wskazanie przepisów, których zarzut naruszenia oceniono jako bezpodstawny oznacza, że zarzut naruszenia przywołanego przepisu wynikowego, nie może odnieść skutku oczekiwanego przez stronę wnoszącą skargę kasacyjną.

Zarzut naruszenia przepisów art. 84 § 1 k.p.a. w zw. z art. 77 § 1 k.p.a. wskazanych w zarzucie 3. jest nieuzasadniony. Na zarzut naruszenia tych przepisów spojrzeć należy przez pryzmat strony przedmiotowej rozpoznawanej sprawy administracyjnej, w tym innych okoliczności faktycznych sprawy. Przedmiotem tym było nałożenie grzywny na administratora danych osobowych za zachowanie polegające na niezgłoszeniu organowi naruszenia danych osobowych bez zbędnej zwłoki oraz niezawiadomienia o naruszeniu danych osobowych bez zbędnej zwłoki osób, których dane osobowe zostały ujawnione. Brak realizacji tych czynności jest niewątpliwy. Skarżący podjął trud wykazania, iż nie spoczywał na nim taki obowiązek, co okazało się nieskuteczne. Oznacza to, że obowiązki, o których mowa w art. 33 ust. 1 RODO i art. 34 ust. 1 RODO nie zostały realizowane. Obowiązek z art. 77 § 1 k.p.a. wiąże się z wyczerpującym wyjaśnieniem sprawy. Ustawodawca nie sformułował zatem jednego paradygmatu czynności procesowych organu, które winien przeprowadzić w każdej sprawie. Ocena konieczności dokonania takich lub innych czynności dowodowych wynika zatem z całokształtu okoliczności sprawy. Należy zgodzić się z sądem I instancji i organem, iż w tej sprawie nie było konieczności przeprowadzania dowodu z opinii biegłego na okoliczność ustalenia, czy istnieją narzędzia informatyczne (programy komputerowe) pozwalające na odczytanie rozmazanych danych osobowych zawartych w dokumentach.

Po pierwsze, należy mieć na uwadze, iż Prezesa UODO należy zaliczyć do grona organów administracji specjalnej, co oznacza, iż dysponuje on zasobami kadrowymi wyspecjalizowanymi w zakresie powierzonych mu zadań i kompetencji. Te okoliczności, które dla zwykłego obywatela stanowią zakres wiedzy specjalistycznej, z punktu widzenia organu załatwiane są jednak bez konieczności sięgania do pomocy biegłych z danej dziedziny, gdyż zatrudnia on urzędników mogących na podstawie własnej wiedzy specjalistycznej ocenić je w ramach urzędu. Materialny zakres zastosowania RODO wynikający z art. 2 ust. 1 wyraźnie wskazuje, że jego przepisy dotyczą przetwarzania danych osobowych w sposób zautomatyzowany. Jest zatem oczywistym, iż organ zatrudnia specjalistów z zakresu informatyki i dziedzin wiedzy z nią powiązanych. Kwestia ustalenia tego, czy jest możliwe odczytanie niewyraźnych danych została rozstrzygnięta wewnątrz urzędu przez fachowców z tych dziedzin wiedzy.

Po drugie, przy ocenie dokonywania określonych czynności postępowania wyjaśniającego bierze się zawsze pod uwagę inne okoliczności sprawy. Na gruncie tej sprawy symptomatyczne było postępowanie administratora danych osobowych związane z informowaniem o sankcjach jakie zamierza nałożyć na osoby, które dysponując ściągniętymi plikami przebiegu egzaminu, będą je rozpowszechniać dalej. Wskazywał to wyraźnie, iż administrator dokonał oceny ich zawartości i uświadomił sobie, iż doszło do ujawnienia danych osobowych bez koniecznej podstawy prawnej, a jego działanie nakierowane było na uniemożliwienie dalszego naruszania prawa do ochrony danych osobowych.

Okoliczności te wskazują w ocenie Naczelnego Sądu Administracyjnego, iż przebieg postępowania wyjaśniającego prowadzonego przez organ odpowiadał paradygmatowi wyznaczonemu przez hipotezę przepisu art. 77 § 1 k.p.a., a w konsekwencji brak było potrzeby przeprowadzania dowodu z opinii biegłego na okoliczności wskazane w zarzucie 3., co czyni go pozbawionym podstaw.

W zarzucie 8. jako dodatkowo naruszone wskazano art. 83 ust. 3, art. 83 ust. 4 lit. a RODO w zw. z art. 58 ust. 2 lit. i RODO, a także art. 102 ust. 1 pkt 1 i ust. 3 ustawy o ochronie danych osobowych. Konstrukcja tego zarzutu jest nieprawidłowa. Przepisy te generalnie odnoszą się do kompetencji i warunków nakładania kar administracyjnych przez organ nadzoru. Naruszenie przepisów prawa ustrojowego następuje zaś na podstawie z art. 174 pkt 1 p.p.s.a. W zarzucie wskazano, że prawidłowa, rzetelna i swobodna ocena zebranego w sprawie materiału dowodowego nie daje podstaw do jednoznacznego stwierdzenia naruszenia art. 33 ust. 1 i art. 34 ust. 4 RODO. W związku z bezskutecznością naruszenia przepisów art. 33 ust. 1 i art. 34 ust.1 RODO organ posiadał kompetencje do nałożenia kary administracyjnej w związku ze stwierdzonymi naruszeniami przepisów RODO. Nie zostało także w zarzucie kasacyjnym wskazane na czym miałby polegać brak prawidłowości, rzetelności i swobody oceny materiału dowodowego, co w tym zakresie czyni zarzut abstrakcyjnym. Z tych względów zarzut ten nie mógł okazać się skuteczny.

W zarzucie 9. jako dodatkowo naruszone wskazano 83 ust. 3, art. 83 ust. 2 lit. a, b, f RODO. Konstrukcja tego zarzutu jest również nieprawidłowa. Dodatkowo zarzut ten został sformułowany wielopoziomowo, w sposób który utrudnia jego merytoryczne rozpoznanie. Wskazane wyżej przepisy generalnie odnoszą się do kompetencji i warunków nakładania kar administracyjnych przez organ nadzoru. Naruszenie przepisów prawa ustrojowego następuje, jak już podano, na podstawie z art. 174 pkt 1 p.p.s.a. Nie można zasadniczo na błędnej podstawie kasacyjnej skutecznie zarzucić naruszenie określonych przepisów. Dodatkowo wskazać należy, iż przepisy te zostały podniesione celem wzruszenia ustaleń faktycznych przyjętych za podstawę orzekania przez sąd, a wcześniej przez organ. W tym miejscu podkreślić należy wyraźnie, że organ dokonywał dwóch rodzajów ustaleń faktycznych. Pierwszy związany był z przebiegiem wydarzeń związanych z ujawnieniem danych osobowych, drugi – z ustaleniem wysokości i wymierzeniem kary pieniężnej. Pierwszy stan faktyczny jest zatem stanem faktycznym wynikającym z normy sankcjonowanej, a drugi jest stanem wynikającym z normy sankcjonującej.

Konstrukcja tego zarzutu oparta została na zakwestionowaniu okoliczności faktycznych sprawy wskazujących na określony (tj. inny) bieg zdarzeń związanych z ujawnieniem bez podstawy prawnej danych osobowych, a następnie została zakwestionowana ich ocena przez pryzmat przepisów kompetencyjnych wskazujących materialne warunki uwzględniane przy realizacji kompetencji orzeczniczej dotyczącej nałożenia kary administracyjnej (chodzi o przepisy art. 83 RODO). Zarzut oparty został zatem na odmiennym przebiegu zdarzenia, niż ten przyjęty przez sąd I instancji, gdyż autorowi nie udało się skutecznie wzruszyć przebiegu zdarzenia. W takiej sytuacji nie sposób jest przejść do oceny przesłanek zastosowania administracyjnej kary pieniężnej. Jest to zresztą niemożliwe także w związku z brakiem wskazania, czy doszło do naruszenia wskazanych przepisów przez błąd wykładni czy błąd niewłaściwego ich zastosowania. W tym zakresie Naczelny Sąd Administracyjny nie może opierać się na własnych domysłach, ani też nie może zastąpić autora skargi kasacyjnej, gdyż naruszyłby w ten sposób zasadę równego traktowania obu stron w postępowaniu sądowoadministarcyjnym. W związku z tym, iż organ nie naruszył przepisów, nie sposób zarzucić organowi legalnie działającemu naruszenia art. 8 § 1 k.p.a. To wszystko czyni zarzut nieuzasadniony.

Uwagi powyższe odnieść należy także do zarzutu 10., w ramach którego zarzucono naruszenie przepisów art. 83 ust. 1 i 2, art. 84 ust. 1 RODO i art. 8 § 1 k.p.a. Naruszenie tych przepisów jest bezskuteczne, gdyż po pierwsze nie wskazano na czym miałoby polegać ich naruszenie (co jest a limine wystarczające dla uznania ich bezskuteczności), po drugie, zarzut ich naruszenia oparto na subiektywnej ocenie, że ustalony stan faktyczny związany z przebiegiem zdarzenia dotyczącego ustalenia faktów ujawnienia danych osobowych jest taki, jaki uznaje autor skargi kasacyjnej, co okazało się założeniem bezpodstawnym.

Z tych względów zarzuty oparte o podstawę z art. 174 pkt 2 p.p.s.a. nie mogły okazać się uzasadnione.

Zarzuty naruszenia prawa materialnego nie zasługują na uwzględnienie.

Zarzuty 1.-3. są nieuzasadnione. Treść przepisu art. 33 ust. 1 RODO wskazuje, iż obowiązek zgłoszenia naruszenia ochrony danych osobowych aktualizuje się w chwili stwierdzenia naruszenia przez administratora, a administratorowi wyznaczony został termin 72 godzi od tego momentu na realizację obowiązku zgłoszenia tego faktu organowi nadzorowi. Ocena ryzyka, czy naruszenie ochrony danych może skutkować naruszeniem praw i wolności osób fizycznych możliwa jest wyłącznie w terminie 72 godzin. Ocena ta zastrzeżona jest do uprawnień administratora, który w przypadku błędnej oceny, obowiązany będzie ponieść odpowiedzialność administracyjną za niedokonanie zgłoszenia organowi nadzoru. Realizacja takiego obowiązku wynika z przepisu art. 33 ust. 1 RODO, zaś względem osób fizycznych - z art. 34 ust. 1 RODO. Oznacza to, że tylko sytuacje jednoznaczne, pozwalać będą na odstąpienie od dokonania zgłoszenia, o którym mowa w art. 33 ust. 1 RODO i zawiadomienia z art. 34 ust. 1 RODO. Istotne jest przy tym, iż ocena ryzyka naruszenia praw lub wolności osób fizycznych dokonywana jest na gruncie stanu faktycznego regulowanego normą sankcjonowaną. Stan faktyczny ustalony w tym zakresie nie pozwalał na odstąpienie od realizacji tych obowiązków. Zgodzić się należy z autorem skargi kasacyjnej, że ocena ryzyka jest uprawnieniem administratora danych osobowych, lecz wbrew jego poglądowi błędna ocena ryzyka podlega sankcjonowaniu. Sankcja w postaci pieniężnej kary administracyjnej nakładana jest w przypadku naruszenia przepisów RODO przez każdy podmiot obowiązany do ich przestrzegania, co wynika z łącznej wykładni przepisów art. 101-102 u.o.d.o. Obowiązek zgłoszenia nałożony jest na administratora w przepisie art. 33 ust. 1 RODO, a zawiadomienia osób fizycznych – w art. 34 ust. 1 RODO. Ich niedopełnienie aktualizuje nałożenie kary pieniężnej.

Należy także wskazać, iż nie jest uprawnione zastosowanie dyrektyw wykładni funkcjonalnej do przepisów art. 33 ust. 1 i art. 34 ust. 1 RODO, tj. przepisów określających obowiązki administratorów danych osobowych w zakresie, w którym pełnią oni rolę gwarantów prawa lub wolności osób fizycznych. Zastosowanie dyrektyw funkcji prowadzące do ograniczenia zastosowania takich przepisów prowadziłoby do ograniczenia ochrony praw i wolności obywatelskich, co może nastąpić wyłącznie na podstawie przepisów ustawy (art. 30 ust. 3 Konstytucji RP) interpretowanej z użyciem dyrektyw językowych. Czyni to powyższe zarzuty nieuprawnione.

Naczelny Sąd Administracyjny, działając na podstawie art. 184 p.p.s.a., orzekł o oddaleniu skargi kasacyjnej.

Na podstawie art. 204 pkt 1 p.p.s.a orzeczono o kosztach postępowania kasacyjnego.