{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 01:32\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b III OSK 210/22 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2025-03-20
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-01-20
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Naczelny S\u261?d Administracyjny
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Pawe\u322? Mierzejewski
\par Rafa\u322? Stasikowski /przewodnicz\u261?cy sprawozdawca/
\par Zbigniew \u346?lusarczyk
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 II SA/Wa 791/21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281? kasacyjn\u261?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2024 nr 0 poz 935; art. 133 par 1, art. 134 par 1, art. 141 par 4; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t. j.)
\par Dz.U.UE.L 2016 nr 119 poz 1; art. 33 ust. 1 oraz art. 34 ust. 1; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tezy\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 1. Nie jest uprawnione zastosowanie dyrektyw wyk\u322?adni funkcjonalnej do przepis\u243?w art. 33 ust. 1 i art. 34 ust. 1 RODO, tj. przepis\u243?w okre\u347?laj\u261?cych obowi\u261?zki administrator\u243?w danych osobowych w zakresie, w kt\u243?rym pe\u322?ni\u261? oni rol\u281? gwarant\u243?w prawa lub wolno\u347?ci os\u243?b fizycznych. 
\par 
\par 2. Zastosowanie dyrektyw funkcji prowadz\u261?ce do ograniczenia zastosowania takich przepis\u243?w prowadzi\u322?oby do ograniczenia ochrony praw i wolno\u347?ci obywatelskich, co mo\u380?e nast\u261?pi\u263? wy\u322?\u261?cznie na podstawie przepis\u243?w ustawy (art. 30 ust. 3 Konstytucji RP) interpretowanej z u\u380?yciem dyrektyw j\u281?zykowych.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Naczelny S\u261?d Administracyjny w sk\u322?adzie: Przewodnicz\u261?cy: s\u281?dzia NSA Rafa\u322? Stasikowski (spr.) S\u281?dziowie s\u281?dzia NSA Zbigniew \u346?lusarczyk s\u281?dzia del. WSA Pawe\u322? Mierzejewski Protokolant asystent s\u281?dziego Antoni Cypryja\u324?ski po rozpoznaniu w dniu 20 marca 2025 r. na rozprawie w Izbie Og\u243?lnoadministracyjnej skargi kasacyjnej \u346?l\u261?skiego Uniwersytetu Medycznego w Katowicach od wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z dnia 22 wrze\u347?nia 2021 r. sygn. akt II SA/Wa 791/21 w sprawie ze skargi \u346?l\u261?skiego Uniwersytetu Medycznego w Katowicach na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia 5 stycznia 2021 r. nr DKN.5131.6.2020.106490 w przedmiocie ochrony danych osobowych 1. oddala skarg\u281? kasacyjn\u261?; 2. zas\u261?dza od \u346?l\u261?skiego Uniwersytetu Medycznego w Katowicach na rzecz Prezesa Urz\u281?du Ochrony Danych Osobowych kwot\u281? 2 800 z\u322? (dwa tysi\u261?ce osiemset z\u322?otych) tytu\u322?em zwrotu koszt\u243?w post\u281?powania kasacyjnego.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wyrokiem z 22 wrze\u347?nia 2021 r., II SA/Wa 791/22, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie oddali\u322? skarg\u281? \u346?l\u261?skiego Uniwersytetu Medycznego w Katowicach na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z 5 stycznia 2021 r., nr DKN.5131.6.2020.106490, w przedmiocie ochrony danych osobowych.
\par 
\par Wyrok zapad\u322? w nast\u281?puj\u261?cych okoliczno\u347?ciach faktycznych i prawnych.
\par 
\par Decyzj\u261? z 5 stycznia 2021 r. Prezes Urz\u281?du Ochrony Danych Osobowych, dzia\u322?aj\u261?c na podstawie art. 104 \u167? 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (Dz.U. z 2020 r. poz. 256 ze zm.; dalej "k.p.a."), art. 7 ust. 1, art. 60 oraz art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781; dalej "u.o.d.o."), a tak\u380?e art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) i lit. i), art. 83 ust. 1 - 3 i art. 83 ust. 4 lit. a) w zwi\u261?zku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2; dalej "RODO"), po przeprowadzeniu post\u281?powania administracyjnego w sprawie braku zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, przez \u346?l\u261?ski Uniwersytet Medyczny w Katowicach (dalej: Administrator, UM, skar\u380?\u261?cy), stwierdzi\u322? naruszenie przez \u346?l\u261?ski Uniwersytet Medyczny w Katowicach przepis\u243?w:
\par 
\par a) art. 33 ust. 1 RODO, polegaj\u261?ce na niezg\u322?oszeniu Prezesowi UODO naruszenia ochrony danych osobowych bez zb\u281?dnej zw\u322?oki, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia,
\par 
\par b) art. 34 ust. 1 RODO, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Maj\u261?c powy\u380?sze na uwadze organ:
\par 
\par 1. na\u322?o\u380?y\u322? na \u346?l\u261?ski Uniwersytet Medyczny w Katowicach kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 25 000 z\u322?,
\par 
\par 2. nakaza\u322? zawiadomienie os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:
\par 
\par a) opisu charakteru naruszenia ochrony danych osobowych;
\par 
\par b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji;
\par 
\par c) opisu mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych;
\par 
\par d) opisu \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w;
\par 
\par w terminie 3 dni od dnia, w kt\u243?rym decyzja stanie si\u281? ostateczna.
\par 
\par W uzasadnieniu wskaza\u322?, \u380?e do Prezesa UODO wp\u322?yn\u281?\u322?y od kilkunastu os\u243?b informacje o naruszeniu ochrony danych osobowych, za\u347? 27 lipca 2020 r. jedna osoba, wnios\u322?a skarg\u281? z tym zwi\u261?zan\u261?. Z informacji przekazanych przez t\u281? osob\u281? wynika, \u380?e naruszenie polega\u322?o na udost\u281?pnieniu na platformie [...] (w kt\u243?rej na dzie\u324? 11.06.2020 r. zarejestrowanych by\u322?o 237 os\u243?b) nagra\u324? obrazuj\u261?cych przebieg egzamin\u243?w praktycznych z pediatrii organizowanych przez Katedr\u281? i Klinik\u281? [...] Uniwersytetu Medycznego w Katowicach, kt\u243?re odby\u322?y si\u281? w trzech terminach: [...].05.2020 r., [...].05.2020 r. i [...].05.2020 r., przy czym w trakcie przyst\u281?powania do egzaminu wi\u281?kszo\u347?\u263? uczestnicz\u261?cych w nim student\u243?w zosta\u322?a wylegitymowana legitymacj\u261? studenck\u261? lub dowodem osobistym. Jeden ze student\u243?w 4.06.2020 r. poinformowa\u322? starost\u243?w grup o tym, \u380?e na ww. platformie zamieszczono nagrania wszystkich sekcji egzaminowanych od pocz\u261?tku trwania egzamin\u243?w, podkre\u347?li\u322? r\u243?wnie\u380?, \u380?e studenci nie zostali uprzedzeni, \u380?e nagranie po przeegzaminowaniu b\u281?dzie udost\u281?pnione szerszej grupie os\u243?b. W zwi\u261?zku z tym, \u380?e nagranie by\u322?o og\u243?lnodost\u281?pne w gronie studenckim nawzajem przesy\u322?ano sobie informacj\u281? o udost\u281?pnieniu nagrania, a zaalarmowani studenci zacz\u281?li sprawdza\u263?, czy wyra\u378?nie s\u261? widoczne ich dane z dowod\u243?w osobistych. Wiele os\u243?b logowa\u322?o si\u281? na platform\u281? lub przesy\u322?a\u322?o sobie linki do nagra\u324?. Ze strony Administratora nie by\u322?o \u380?adnej reakcji. W trakcie sprawdzania link\u243?w okaza\u322?o si\u281?, \u380?e istnieje mo\u380?liwo\u347?\u263? obejrzenia nagrania po uzyskaniu linku do Big Blue Button bez konieczno\u347?ci logowania, co by\u322?o dowodem na niezabezpieczenie danych osobowych widocznych na filmach. W celu zabezpieczenia dowod\u243?w na poparcie s\u322?uszno\u347?ci zg\u322?oszenia zosta\u322?y r\u243?wnie\u380? zrobione zdj\u281?cia ekranu komputera, na kt\u243?rym by\u322?y zapauzowane nagrania i widoczne dowody osobiste.
\par 
\par Wobec powy\u380?szego 30 lipca 2020 r. organ, dzia\u322?aj\u261?c na podstawie art. 58 ust. 1 lit. a) i e) RODO, zwr\u243?ci\u322? si\u281? do UM o udzielenie informacji, czy w zwi\u261?zku z ww. sytuacj\u261? dokonana zosta\u322?a analiza incydentu pod k\u261?tem ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych niezb\u281?dna do oceny, czy dosz\u322?o do naruszenia ochrony danych skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia Prezesa UODO oraz os\u243?b, kt\u243?rych dotyczy naruszenie. Administrator 11 sierpnia 2020 r. potwierdzi\u322?, \u380?e dosz\u322?o do naruszenia ochrony danych osobowych polegaj\u261?cego na udost\u281?pnieniu danych osobowych nieuprawnionym odbiorcom. Stwierdzi\u322? r\u243?wnie\u380?, \u380?e dokona\u322? oceny zdarzenia pod k\u261?tem ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Ponadto z wyja\u347?nie\u324? Administratora wynika, \u380?e "Administrator Platformy e-learningowej opracowa\u322? autorsk\u261? poprawk\u281? do systemu BigBlueButton uniemo\u380?liwiaj\u261?c\u261? studentom pobieranie film\u243?w. Pobieranie film\u243?w jest normaln\u261? funkcjonalno\u347?ci\u261? systemu (nie zalicza si\u281? do dzia\u322?a\u324? hakerskich czy podatno\u347?ci systemu) dla zalogowanych student\u243?w i jest rejestrowane - utworzony pok\u243?j wirtualny dost\u281?pny jest wy\u322?\u261?cznie dla egzaminowanej grupy i tylko te osoby maj\u261? dost\u281?p do zapisywanych nagra\u324?. B\u322?\u261?d osoby prowadz\u261?cej polega\u322? na niewy\u322?\u261?czeniu pokoju i dost\u281?pu do niego po zako\u324?czeniu egzaminu". Administrator stwierdzi\u322?, \u380?e jest ma\u322?o prawdopodobne, by naruszenie skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. W dniu 17 sierpnia 2020 roku do organu wp\u322?yn\u281?\u322?a odpowied\u378? udzielona przez Rektora UM, z kt\u243?rej wynika m.in., \u380?e "Zabezpieczono logi i informacje o osobach, kt\u243?re nagrania pobra\u322?y. Rozpocz\u281?to analiz\u281? powzi\u281?tych danych nt. ww. incydentu. Z przeprowadzonych ustale\u324? wynika, \u380?e mechanizmy bezpiecze\u324?stwa platformy e-learningowej nie zosta\u322?y prze\u322?amane jak r\u243?wnie\u380? nie dosz\u322?o do tzw. wycieku danych. Ponadto na podstawie analiz dokonanych przez Administratora Platformy e-learningowej i Dzia\u322?u ds. Bezpiecze\u324?stwa Informacji ustalono, \u380?e nagranie pobrane zosta\u322?o przez 26 os\u243?b znanych Uczelni z imienia i nazwiska - cz\u322?onk\u243?w wsp\u243?lnoty Uczelni tj. (egzaminowani studenci danego kierunku oraz nauczyciele akademiccy), na kt\u243?rych ci\u261?\u380?y odpowiedzialno\u347?\u263? indywidualna za ich nierozpowszechnianie. W zwi\u261?zku z zakresem udost\u281?pnienia rzeczonych nagra\u324? ograniczonych wy\u322?\u261?cznie do uczestnik\u243?w egzaminu oraz niskim prawdopodobie\u324?stwem naruszenia praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? Uczelnia odst\u261?pi\u322?a od obowi\u261?zku zg\u322?aszania naruszenia do Urz\u281?du Ochrony Danych Osobowych, o kt\u243?rym mowa w art. 33 ust. 1 RODO".
\par 
\par Pismem z 2 wrze\u347?nia 2020 r. Prezes UODO poinformowa\u322? Administratora o tre\u347?ci art. 33 ust. 1 RODO.
\par 
\par W pi\u347?mie z 11 wrze\u347?nia 2020 r. Administrator poinformowa\u322? Prezesa UODO, \u380?e od daty z\u322?o\u380?enia pierwszych wyja\u347?nie\u324? "do dnia dzisiejszego" do Uczelni nie wp\u322?yn\u281?\u322?a \u380?adna dodatkowa informacja maj\u261?ca bezpo\u347?redni wp\u322?yw na czynniki determinuj\u261?ce konieczno\u347?\u263? przeprowadzenia ponownej analizy ryzyka w zakresie odnotowanego incydentu, kt\u243?rego mo\u380?liwa eskalacja zosta\u322?a bezzw\u322?ocznie, skutecznie i technicznie powstrzymana.
\par 
\par W dniu 16 wrze\u347?nia 2020 r. do Urz\u281?du Ochrony Danych Osobowych wp\u322?yn\u281?\u322?a odpowied\u378? Rektora UM, z kt\u243?rej wynika, \u380?e "(...) nagrania przebiegu egzaminu by\u322?y dost\u281?pne dla student\u243?w oznaczonego rocznika jednego kierunku i prowadz\u261?cych zaj\u281?cia wyk\u322?adowc\u243?w, gdzie w zakresie znajomo\u347?ci to\u380?samo\u347?ci osoby, kt\u243?rych dane dotycz\u261?, takimi informacjami wzajemnie dysponuj\u261?. Bezspornym jest jednak fakt, i\u380? zakres danych mo\u380?liwych do pobrania przez ww. grup\u281? os\u243?b by\u322? szerszy, nie mniej zosta\u322?y podj\u281?te skuteczne \u347?rodki blokuj\u261?ce to naruszenie wraz z autorskim informatycznym przeprogramowaniem funkcjonalno\u347?ci platformy e-learningowej.
\par 
\par W zwi\u261?zku z tym, \u380?e nagrania mog\u322?y by\u263? pobrane przez wy\u380?ej opisan\u261? grup\u281? b\u281?d\u261?c\u261? wyodr\u281?bnion\u261? cz\u281?\u347?ci\u261? spo\u322?eczno\u347?ci akademickiej oceniono ryzyko naruszenia praw i wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261? na ma\u322?e. (...) Co istotne podkre\u347?li\u263? nale\u380?y, \u380?e ka\u380?dy student \u346?l\u261?skiego Uniwersytetu Medycznego w Katowicach zobowi\u261?zany jest do poszanowania godno\u347?ci ka\u380?dego cz\u322?owieka, a w szczeg\u243?lno\u347?ci, wzajemnie w ramach \u347?rodowiska akademickiego. (...) Nadto studenci zobowi\u261?zani s\u261? Statutem Uczelni do przestrzegania przepis\u243?w wewn\u281?trznych obowi\u261?zuj\u261?cych w Uczelni (norm, zasad wsp\u243?\u322?\u380?ycia i zwyczaj\u243?w akademickich) w tym, w szczeg\u243?lno\u347?ci odnosz\u261?cych si\u281? do ochrony prywatno\u347?ci. Maj\u261?c na uwadze powy\u380?sze obowi\u261?zki student\u243?w i pozosta\u322?ych cz\u322?onk\u243?w wsp\u243?lnoty akademickiej w zakresie zg\u322?aszania incydent\u243?w zwi\u261?zanych z bezpiecze\u324?stwem informacji nie wp\u322?yn\u281?\u322?a do Uczelni \u380?adna informacja mog\u261?ca mie\u263? wp\u322?yw na zmian\u281? poziomu ryzyka albo wymagaj\u261?ca podj\u281?cia innych \u347?rodk\u243?w technicznych i organizacyjnych rozszerzaj\u261?cych katalog podj\u281?tych dzia\u322?a\u324?".
\par 
\par Wobec braku zg\u322?oszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, 19 pa\u378?dziernika 2020 r. Prezes UODO wszcz\u261?\u322? wobec Administratora post\u281?powanie administracyjne.
\par 
\par W pi\u347?mie z 26 pa\u378?dziernika 2020 r. Administrator uzna\u322?, \u380?e jest ma\u322?o prawdopodobne by przedmiotowe naruszenie skutkowa\u322?o ryzykiem naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Powo\u322?a\u322? si\u281? na art. 76a ustawy z dnia 20 lipca 2018 r. - Prawo o szkolnictwie wy\u380?szym i nauce (Dz.U. 2018 poz. 1668 ze zm.).
\par 
\par W uzasadnieniu wskazanej na wst\u281?pie decyzji Prezes UODO przywo\u322?a\u322? tre\u347?\u263? art. 4 pkt 12, art. 33 ust. 1 i 3 i art 34 ust. 1 RODO. Uzna\u322?, \u380?e w przedmiotowej sprawie dosz\u322?o do naruszenia ochrony danych osobowych polegaj\u261?cego na udost\u281?pnieniu na platformie [...] nagra\u324? obrazuj\u261?cych przebieg egzamin\u243?w praktycznych, w trakcie przyst\u281?powania do kt\u243?rych wi\u281?kszo\u347?\u263? uczestnik\u243?w - student\u243?w zosta\u322?a wylegitymowana legitymacj\u261? studenck\u261? lub dowodem osobistym. Administrator nie kwestionowa\u322?, i\u380? sytuacja taka mia\u322?a miejsce. Organ wskaza\u322?, \u380?e dane widoczne na pierwszej stronie dowodu osobistego (w zale\u380?no\u347?ci od chwili jego wydania, jako \u380?e obecnie w obiegu funkcjonuj\u261? dowody osobiste wydane wed\u322?ug trzech wzor\u243?w), poza: zdj\u281?ciem, imionami, nazwiskiem, dat\u261? urodzenia i p\u322?ci\u261?, obejmuj\u261? dodatkowo szczeg\u243?\u322?owo wskazane w decyzji dane. Jak wskaza\u322? organ, ponadto Administrator nie odni\u243?s\u322? si\u281? do kwestii danych widocznych na legitymacjach studenckich, kt\u243?re studenci okazywali w zwi\u261?zku z przyst\u281?powaniem do egzaminu. Zgodnie z odpowiednim poprzednio obowi\u261?zuj\u261?cymi przepisami wykonawczymi na legitymacji studenckiej widoczne s\u261?: kolorowe zdj\u281?cie posiadacza legitymacji, nazwa uczelni, imi\u281?, nazwisko, adres, data wydania, numer albumu, numer PESEL (a w przypadku obcokrajowc\u243?w odpowiednio: data urodzenia). Zgodnie natomiast z obecnie obowi\u261?zuj\u261?cym rozporz\u261?dzeniem Ministra Nauki i Szkolnictwa Wy\u380?szego z dnia 27 wrze\u347?nia 2018 r. w sprawie studi\u243?w (Dz.U. z 2018 r., poz. 1861, ze zm. - obowi\u261?zuj\u261?cym od dnia 1 pa\u378?dziernika 2018 r.), legitymacja taka zawiera wszystkie wy\u380?ej wskazane dane poza adresem studenta. Prezes UODO poda\u322?, \u380?e jak wskaza\u322? w z\u322?o\u380?onych wyja\u347?nieniach Administrator, utrwalone na nagraniach dane znajduj\u261?ce si\u281? na ww. dokumentach mog\u322?y pozostawa\u263? nieczytelne lub jedynie cz\u281?\u347?ciowo czytelne. Powy\u380?sze stwierdzenie, w ocenie organu, mo\u380?e budzi w\u261?tpliwo\u347?ci w kontek\u347?cie celu, dla kt\u243?rego dokumenty te by\u322?y okazywane, tj. zweryfikowanie to\u380?samo\u347?ci osoby przyst\u281?puj\u261?cej do egzaminu. Ponadto fakt, \u380?e dane mog\u322?y by\u263? cz\u281?\u347?ciowo czytelne nie wyklucza mo\u380?liwo\u347?ci zapoznania si\u281? z nimi przez osob\u281? nieuprawnion\u261?. Wreszcie nie mo\u380?na pomin\u261?\u263? istnienia program\u243?w umo\u380?liwiaj\u261?cych stosown\u261? obr\u243?bk\u281? zdj\u281?\u263? lub nagra\u324? w spos\u243?b umo\u380?liwiaj\u261?cy odczytanie tych danych. Te wszystkie okoliczno\u347?ci, jako istotne, powinny by\u263? wzi\u281?te pod uwag\u281? przez Administratora przy ocenie, czy dosz\u322?o do naruszenia ochrony danych osobowych, jaka by\u322?a jego skala oraz czy potencjalnie wi\u261?za\u322?o si\u281? ono z ryzykiem naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, a tak\u380?e, czy ryzyko to jest wysokie. Tymczasem, jak wynika z zebranego materia\u322?u dowodowego, Administrator tego nie uczyni\u322?.
\par 
\par Organ podkre\u347?li\u322? r\u243?wnie\u380?, \u380?e w sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszed\u322? w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych. Administrator
\par 
\par w swoich wyja\u347?nieniach podkre\u347?la\u322?, \u380?e nie wp\u322?yn\u281?\u322?y do niego informacje wskazuj\u261?ce na nieuprawnione wykorzystanie danych osobowych udost\u281?pnionych w wyniku przedmiotowego naruszenia. Dlatego uzna\u322?, \u380?e naruszenie nie wi\u261?\u380?e si\u281? z ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b nim dotkni\u281?tych. Prezesa UODO podkre\u347?li\u322? przy tym, \u380?e Administrator przewidzia\u322? jednak, \u380?e naruszenie mo\u380?e wi\u261?za\u263? si\u281? z takim ryzykiem - \u347?wiadczy o tym fakt zwracania si\u281? przez niego o przekazywanie sygna\u322?\u243?w o ewentualnym nieuprawnionym wykorzystaniu udost\u281?pnionych danych osobowych
\par 
\par i gro\u380?enia konsekwencjami, z jakimi takie wykorzystanie danych mo\u380?e si\u281? wi\u261?za\u263? (post\u281?powanie dyscyplinarne, skre\u347?lenie z listy student\u243?w, rozwi\u261?zanie stosunku pracy, zawiadomienie organ\u243?w \u347?cigania). Uzale\u380?nianie reakcji na zaistnia\u322?e naruszenie od ziszczenia si\u281? jego potencjalnych konsekwencji jest sprzeczne z zasad\u261?, zgodnie z kt\u243?r\u261? administrator ma przeciwdzia\u322?a\u263? konsekwencjom naruszenia lub minimalizowa\u263? jego negatywne skutki (w sytuacji, gdy niezasadne jest ju\u380? stosowanie \u347?rodk\u243?w im zapobiegaj\u261?cych).
\par 
\par Organ wyja\u347?ni\u322?, \u380?e w przedmiotowej sprawie zaistnia\u322?o ryzyko nieuprawnionego wej\u347?cia w posiadanie danych osobowych przez tyle os\u243?b, ile mia\u322?o do nich potencjalny dost\u281?p. To jest co najmniej tyle os\u243?b, ile by\u322?o zarejestrowanych na platformie, poniewa\u380? z informacji, kt\u243?re wp\u322?yn\u281?\u322?y do Urz\u281?du wynika, \u380?e istnia\u322?a "mo\u380?liwo\u347?\u263? obejrzenia nagrania po uzyskaniu linku do Big Blue Button bez konieczno\u347?ci logowania". Z\u322?o\u380?one przez Administratora 24 wrze\u347?nia 2020 r. wyja\u347?nienia wskazuj\u261? ponadto, \u380?e dost\u281?p do przedmiotowych nagra\u324? uzyska\u322? szerszy ni\u380? zak\u322?adany przez Administratora kr\u261?g os\u243?b. Nale\u380?y r\u243?wnie\u380? podkre\u347?li\u263?, \u380?e fakt ewentualnego otwierania pliku zawieraj\u261?cego przedmiotowe nagranie przez kogokolwiek, jego pobierania czy dalszego udost\u281?pniania prowadzi do zwi\u281?kszenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?.
\par 
\par Zdaniem organu w wyniku przedmiotowego zdarzenia dosz\u322?o do naruszenia poufno\u347?ci danych tych os\u243?b, kt\u243?re przyst\u281?puj\u261?c do egzamin\u243?w legitymowa\u322?y si\u281? widocznymi na przedmiotowym nagraniu legitymacjami studenckimi lub dowodami osobistymi - w zakresie danych znajduj\u261?cych si\u281? na tych dokumentach - to jest do naruszenia bezpiecze\u324?stwa prowadz\u261?cego do przypadkowego, nieuprawnionego ujawnienia danych tych os\u243?b, co w spos\u243?b jednoznaczny przes\u261?dza, \u380?e wyst\u261?pi\u322?o naruszenie ochrony danych osobowych. W opinii organu w niniejszej sprawie wyst\u281?puje wysokie ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych, powo\u322?a\u322? si\u281? przy tym na wytyczne art. 29 dotycz\u261?ce zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z RODO. Nie ulega w\u261?tpliwo\u347?ci organu, \u380?e przywo\u322?ane w wytycznych przyk\u322?ady szk\u243?d mog\u261? wyst\u261?pi\u263? w przypadku os\u243?b, kt\u243?rych dane osobowe - w niekt\u243?rych przypadkach \u322?\u261?cznie z numerem ewidencyjnym PESEL lub seri\u261? i nr dowodu osobistego - zosta\u322?y utrwalone na udost\u281?pnionych nagraniach. Nie bez znaczenia dla takiej oceny jest mo\u380?liwo\u347?\u263? \u322?atwej w oparciu o ujawnione dane identyfikacji os\u243?b, kt\u243?rych dane zosta\u322?y obj\u281?te naruszeniem. W przedmiotowej sprawie dosz\u322?o do ujawnienia nagra\u324?, na kt\u243?rych utrwalono wizerunki i g\u322?osy student\u243?w, kt\u243?rzy w trakcie przyst\u281?powania do egzamin\u243?w okazywali celem weryfikacji swojej to\u380?samo\u347?ci legitymacje studenckie lub dowody osobiste, na kt\u243?rych zawarte s\u261? wy\u380?ej wymienione dane osobowe - w niekt\u243?rych przypadkach r\u243?wnie\u380? numer ewidencyjny PESEL lub seria i nr dowodu osobistego w zestawieniu z pozosta\u322?ymi danymi. Ponadto, poprzez udost\u281?pnienie tych nagra\u324? osobom nieuprawnionym, dosz\u322?o do ujawnienia innych danych, takich jak cyt.: "(...) informacje o grupie, roku studi\u243?w, kierunku, przedmiocie oraz udzielone podczas egzaminu odpowiedzi". W konsekwencji oznacza to, \u380?e wyst\u281?puje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b obj\u281?tych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 RODO. Organ stwierdzi\u322?, \u380?e Administrator nie dokona\u322? zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowi\u261?zku z art. 33 ust. 1 RODO oraz nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Administratora tych przepis\u243?w.
\par 
\par Nak\u322?adaj\u261?c kar\u281? pieni\u281?\u380?n\u261?, organ mia\u322? na uwadze przes\u322?anki okre\u347?lone w art. 83 ust. 2 lit. a) i b) oraz lit. f) i g) RODO, kt\u243?re szczeg\u243?\u322?owo uzasadni\u322?. Jak stwierdzi\u322? Prezes UODO, ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, uwzgl\u281?dni\u322? r\u243?wnie\u380? dzia\u322?ania podj\u281?te przez Administratora w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO). Wyja\u347?ni\u322?, \u380?e Administrator przekaza\u322? osobom, kt\u243?rych dane dotycz\u261?, pewne informacje dotycz\u261?ce naruszenia i umo\u380?liwi\u322? im komunikacj\u281? dzi\u281?ki przeznaczonym do tego kana\u322?om komunikacji. Wskaza\u322? r\u243?wnie\u380? osobom mog\u261?cym mie\u263? nieuprawniony dost\u281?p do ujawnionych nagra\u324? na mo\u380?liwe konsekwencje dyscyplinarne i karne ich bezprawnego u\u380?ycia. Takie dzia\u322?anie Administratora zas\u322?uguje, w ocenie organu, na dostrze\u380?enie i akceptacj\u281?, jednak\u380?e nie jest w \u380?adnym wypadku r\u243?wnoznaczne ze spe\u322?nieniem obowi\u261?zku, o kt\u243?rym mowa w art. 34 RODO. W ocenie Prezesa UODO zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia, w ustalonych okoliczno\u347?ciach niniejszej sprawy, funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca.
\par 
\par Skarg\u281? na powy\u380?sz\u261? decyzj\u281? do Wojew\u243?dzkiego S\u261?du Administracyjnego
\par 
\par w Warszawie wni\u243?s\u322? \u346?l\u261?ski Uniwersytet Medyczny w Katowicach.
\par 
\par W odpowiedzi na skarg\u281? Prezes UODO wni\u243?s\u322? o jej oddalenie oraz podtrzyma\u322? dotychczasowe stanowisko.
\par 
\par Oddalaj\u261?c skarg\u281?, s\u261?d I instancji wskaza\u322?, \u380?e nie ulega w\u261?tpliwo\u347?ci, \u380?e w niniejszej sprawie dosz\u322?o do braku zg\u322?oszenia przez Administratora faktu naruszenia danych osobowych uczestnik\u243?w egzamin\u243?w praktycznych z pediatrii organizowanych przez Katedr\u281? i Klinik\u281? [...] Uniwersytetu Medycznego w Katowicach, co stanowi naruszenie art. 33 ust. 1 RODO, a tak\u380?e naruszenie art. 34 ust. 1 RODO, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?. Istota problemu w niniejszej sprawie w zakresie art. 33 ust. 1 RODO sprowadza si\u281? do ustalenia, czy skar\u380?\u261?cy wykaza\u322? w toku niniejszego post\u281?powania, \u380?e by\u322? zwolniony z powy\u380?szego obowi\u261?zku, poniewa\u380? by\u322?o ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. W ocenie s\u261?du, wbrew twierdzeniom skar\u380?\u261?cego, \u380?e utrwalone na nagraniach dane osobowe by\u322?y nieczytelne lub ma\u322?o czytelne, nale\u380?y przyj\u261?\u263?, \u380?e twierdzenia te w \u380?aden spos\u243?b nie uzasadniaj\u261? oceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, o kt\u243?rym mowa w art. 33 ust. 1 RODO. Zdaniem s\u261?du organ prawid\u322?owo uzna\u322?, \u380?e to czy dane mog\u322?y by\u263? cz\u281?\u347?ciowo czytelne nie wyklucza mo\u380?liwo\u347?ci zapoznania si\u281? z nimi przez osob\u281? nieuprawnion\u261? (w czym pomocne s\u261? mi\u281?dzy innymi odpowiednie programy komputerowe), w zwi\u261?zku z czym skar\u380?\u261?cy, jako administrator danych osobowych student\u243?w, powinien by\u322? wzi\u261?\u263? pod uwag\u281? sygnalizowane mu okoliczno\u347?ci a nast\u281?pnie oceni\u263?, czy dosz\u322?o do naruszenia ochrony danych osobowych, jaka by\u322?a jego skala oraz czy potencjalnie wi\u261?za\u322?o si\u281? ono z ryzykiem naruszenia praw lub wolno\u347?ci podmiot\u243?w, kt\u243?rych dane udost\u281?pniono, a tak\u380?e, czy ryzyko to jest wysokie. Tymczasem, jak wynika z udzielonych przez skar\u380?\u261?cego wyja\u347?nie\u324?, uzna\u322? on, \u380?e ryzyko naruszenia praw lub wolno\u347?ci by\u322?o ma\u322?o prawdopodobne.
\par 
\par W ocenie s\u261?du w wyniku odnotowanego zdarzenia dosz\u322?o do naruszenia poufno\u347?ci danych student\u243?w UM, kt\u243?rzy przyst\u281?puj\u261?c do egzamin\u243?w legitymowali si\u281? widocznymi na nagraniu legitymacjami studenckimi lub dowodami osobistymi -
\par 
\par w zakresie danych znajduj\u261?cych si\u281? na tych dokumentach - to jest do naruszenia bezpiecze\u324?stwa prowadz\u261?cego do przypadkowego, nieuprawnionego ujawnienia danych tych os\u243?b, co w spos\u243?b jednoznaczny przes\u261?dza, \u380?e wyst\u261?pi\u322?o naruszenie ochrony danych osobowych. Naruszenie poufno\u347?ci danych, jakie wyst\u261?pi\u322?o
\par 
\par w przedmiotowej sprawie, w zwi\u261?zku z naruszeniem ochrony danych osobowych polegaj\u261?cym na udost\u281?pnieniu na platformie [...] nagra\u324? obrazuj\u261?cych przebieg egzamin\u243?w praktycznych, w trakcie przyst\u281?powania do kt\u243?rych wi\u281?kszo\u347?\u263? uczestnicz\u261?cych w nich student\u243?w zosta\u322?a wylegitymowana legitymacj\u261? studenck\u261? lub dowodem osobistym, w wyniku czego dosz\u322?o do naruszenia poufno\u347?ci danych tych student\u243?w w zakresie danych znajduj\u261?cych si\u281? na legitymacji studenckiej lub dowodzie osobistym, powoduje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. To z kolei skutkuje powstaniem po stronie Administratora obowi\u261?zku zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 33 ust. 3 tego rozporz\u261?dzenia oraz zawiadomienia tych os\u243?b o naruszeniu zgodnie z art. 34 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 34 ust. 2 tego rozporz\u261?dzenia. Dla powy\u380?szej oceny nie ma wp\u322?ywu to, czy plik zawieraj\u261?cy nagranie obrazuj\u261?ce przebieg przedmiotowych egzamin\u243?w zosta\u322? pobrany przez dwadzie\u347?cia sze\u347?\u263? os\u243?b, kt\u243?r\u261? to liczb\u281? wskazuje Administrator w z\u322?o\u380?onych wyja\u347?nieniach. Nie ma bowiem pewno\u347?ci, \u380?e plik ten nie zosta\u322? nast\u281?pnie udost\u281?pniony innym nieuprawnionym odbiorcom, przy czym administrator nie mo\u380?e obarcza\u263? odpowiedzialno\u347?ci\u261? za naruszenie os\u243?b, kt\u243?rym udost\u281?pniono te nagrania - w omawianym przypadku nie budzi w\u261?tpliwo\u347?ci to, \u380?e to w\u322?a\u347?nie zaniechania skar\u380?\u261?cego doprowadzi\u322?y do naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b nim dotkni\u281?tych. Nawet gdyby przyj\u261?\u263?, \u380?e mo\u380?liwo\u347?\u263? zapoznania si\u281? z danymi osobowymi, kt\u243?re obrazuje udost\u281?pnione nagranie, mia\u322?o tylko ww. dwadzie\u347?cia sze\u347?\u263? os\u243?b, to fakt pozostawania tych os\u243?b w jakimikolwiek zwi\u261?zku z Administratorem nie daje \u380?adnych gwarancji co do intencji tych os\u243?b, a ewentualne konsekwencje pos\u322?u\u380?enia si\u281? takimi kategoriami danych mog\u261? by\u263? znacz\u261?ce dla os\u243?b, kt\u243?rych dane obj\u281?te zosta\u322?y naruszeniem.
\par 
\par Zdaniem s\u261?du I instancji z ustale\u324? poczynionych w niniejszej sprawie wynika, \u380?e skar\u380?\u261?cy nie rozpatrzy\u322? odnotowanego zdarzenia upublicznienia nagra\u324? obrazuj\u261?cych przebieg egzamin\u243?w z punktu widzenia ryzyka naruszenia praw lub wolno\u347?ci cz\u322?owieka, kt\u243?re niew\u261?tpliwie zaistnia\u322?o. Dosz\u322?o bowiem do "wycieku" danych student\u243?w przyst\u281?puj\u261?cych do egzamin\u243?w, o czym administrator mia\u322? wiedz\u281? i nie podj\u261?\u322? stosownych czynno\u347?ci, okre\u347?lonych w przepisach art. 33 ust. 1 oraz art. 34 ust. 1 RODO. W konsekwencji stwierdzi\u322?, \u380?e skar\u380?\u261?cy nie dokona\u322? zg\u322?oszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowi\u261?zku z art. 33 ust. 1 RODO oraz nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co stanowi o naruszeniu przez skar\u380?\u261?cego wspomnianych przepis\u243?w. S\u261?d powo\u322?a\u322? si\u281? na art. 34 ust. 4 i art. 58 ust. 2 lit. e) i i) RODO. Wskaza\u322?, \u380?e Prezes UODO szczeg\u243?\u322?owo wyja\u347?ni\u322? powody na\u322?o\u380?enia na skar\u380?\u261?cego kary pieni\u281?\u380?nej w oparciu o art. 83 ust. 4 lit. a) RODO w przyj\u281?tej wysoko\u347?ci. Decyduj\u261?c o na\u322?o\u380?eniu na skar\u380?\u261?cego administracyjnej kary pieni\u281?\u380?nej Prezes UODO - stosownie do tre\u347?ci art. 83 ust. 2 lit. a) - k) RODO - wzi\u261?\u322? pod uwag\u281? nast\u281?puj\u261?ce okoliczno\u347?ci sprawy, stanowi\u261?ce o konieczno\u347?ci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u322?ywaj\u261?ce obci\u261?\u380?aj\u261?co na wymiar na\u322?o\u380?onej kary pieni\u281?\u380?nej. Co istotne, ustalaj\u261?c wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej, Prezes UODO uwzgl\u281?dni\u322? r\u243?wnie\u380? dzia\u322?ania podj\u281?te przez skar\u380?\u261?cego w celu zminimalizowania szkody poniesionej przez osoby, kt\u243?rych dane dotycz\u261? (art. 83 ust. 2 lit. c RODO). Administrator przekaza\u322? osobom, kt\u243?rych dane dotycz\u261?, pewne informacje dotycz\u261?ce naruszenia i umo\u380?liwi\u322? im komunikacj\u281? dzi\u281?ki przeznaczonym do tego kana\u322?om komunikacji. Wskaza\u322? r\u243?wnie\u380? osobom mog\u261?cym mie\u263? nieuprawniony dost\u281?p do ujawnionych nagra\u324? na mo\u380?liwe konsekwencje dyscyplinarne i karne ich bezprawnego u\u380?ycia. Z kolei bez wp\u322?ywu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji w postaci administracyjnej kary pieni\u281?\u380?nej, jak r\u243?wnie\u380? na jej wysoko\u347?\u263?, organ uzna\u322?, wskazane w art. 83 ust. 2 RODO okoliczno\u347?ci. W ocenie s\u261?du I instancji zastosowana przez organ administracyjna kara pieni\u281?\u380?na spe\u322?nia, w ustalonych okoliczno\u347?ciach rozpatrywanej sprawy, funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Zdaniem s\u261?du kara pieni\u281?\u380?na w wysoko\u347?ci 25000 z\u322? spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy przes\u322?anki i mie\u347?ci si\u281? w ustawowym limicie 100000 z\u322?.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, dzia\u322?aj\u261?c na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz.U. z 2019 r., poz. 2325 ze zm.; dalej "p.p.s.a."), oddali\u322? skarg\u281?.
\par 
\par Skarg\u281? kasacyjn\u261? od powy\u380?szego wyroku wywi\u243?d\u322? \u346?l\u261?ski Uniwersytet Medyczny w Katowicach, zaskar\u380?aj\u261?c wyrok w ca\u322?o\u347?ci. Wni\u243?s\u322? o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci i przekazanie sprawy do ponownego rozpoznania s\u261?dowi I instancji. Nadto wni\u243?s\u322? o rozpoznanie sprawy na rozprawie i zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania. Zaskar\u380?onemu wyrokowi zarzuci\u322? naruszenie:
\par 
\par I. przepis\u243?w post\u281?powania, kt\u243?re mia\u322?o istotny wp\u322?yw na wynik sprawy, tj.:
\par 
\par 1. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez niepe\u322?n\u261? i b\u322?\u281?dn\u261? analiz\u281? stanu faktycznego dokonan\u261? przez s\u261?d I Instancji, co spowodowa\u322?o, i\u380? przyj\u261?\u322? on nieprawid\u322?owo, jako podstaw\u281? rozstrzygni\u281?cia stan faktyczny ustalony przez organ - Prezesa UODO (b\u322?\u261?d w ustalaniach faktycznych), tj. uzna\u322?, \u380?e w niniejszej sprawie dosz\u322?o do wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b obj\u281?tych zaistnia\u322?ym zdarzeniem naruszenia danych osobowych lub prawdopodobie\u324?stwem by naruszenie to skutkowa\u322?o takim ryzykiem, co wi\u261?za\u322?o si\u281? z konieczno\u347?ci\u261? zg\u322?oszenia incydentu utraty danych osobowych w terminie 72 godzin organowi, pomijaj\u261?c jednak ca\u322?kowicie przeprowadzon\u261? przez Administratora Danych - skar\u380?\u261?cego - analiz\u281? ryzyka zdarzenia oraz wyprowadzone w oparciu o ni\u261? wnioski i ustalenia (marginalizuj\u261?c w zasadzie znaczenie analizy ryzyka), w tym \u380?e czytelno\u347?\u263? zarejestrowanych w formie zapisu video dokument\u243?w to\u380?samo\u347?ci student\u243?w s\u261? nieczytelne w stopniu znacznym oraz fakt pobrania linku do zapisu video wy\u322?\u261?cznie przez 26 os\u243?b, w tym 3 nauczycieli akademickich i 23 student\u243?w, kt\u243?rzy nale\u380?\u261? do spo\u322?eczno\u347?ci akademickiej i na kt\u243?rych z mocy odr\u281?bnych przepis\u243?w ci\u261?\u380?\u261? okre\u347?lone obowi\u261?zki, co skutkuje zaliczeniem tych os\u243?b do kr\u281?gu "os\u243?b zaufanych", co faktycznie wy\u322?\u261?cza mo\u380?liwo\u347?\u263? powstania prawdopodobie\u324?stwa ryzyka naruszenia ww. d\u243?br os\u243?b, kt\u243?rych dane obj\u281?\u322?o zdarzenie stanowi\u261?ce incydent danych osobowych, a tym bardziej wysokiego ryzyka naruszenia tych d\u243?br, a w konsekwencji brak dokonania ustale\u324? faktycznych uwzgl\u281?dniaj\u261?c indywidualny charakter sprawy i poprzestaj\u261?c wy\u322?\u261?cznie na ocenie o charakterze abstrakcyjnym przes\u322?anek wyst\u261?pienia wysokiego ryzyka naruszenia praw lub wolno\u347?ci i prawdopodobie\u324?stwa by naruszenie to skutkowa\u322?o takim ryzykiem, tj. w oderwaniu od reali\u243?w niniejszej sprawy;
\par 
\par 2. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie przez s\u261?d I Instancji za organem - Prezesem UODO, \u380?e "to czy dane mog\u322?y by\u263? cz\u281?\u347?ciowo czytelne nie wyklucza mo\u380?liwo\u347?ci zapoznania si\u281? z nimi przez osob\u281? nieuprawnion\u261? (w czym pomocne s\u261? mi\u281?dzy innymi odpowiednie programy komputerowe)", w sytuacji kiedy rzetelna oraz swobodna ocena ca\u322?okszta\u322?tu zebranego w sprawie materia\u322?u dowodowego a zawartego w aktach post\u281?powania i ustalony prawid\u322?owo stan faktyczny, nie potwierdzaj\u261? zasadno\u347?ci tak kategorycznego oraz jednoznacznego twierdzenia wyroku s\u261?du I Instancji, gdy\u380? analiza materia\u322?u dowodowego prowadzi w\u322?a\u347?nie do odwrotnego stanowiska, a co najmniej rodzi w\u261?tpliwo\u347?ci co do czytelno\u347?ci ujawnionych dokument\u243?w oraz zakresu danych na nich znajduj\u261?cych si\u281?, co uzasadnia\u322?o przyj\u281?cie przez skar\u380?\u261?cego, \u380?e ryzyko naruszenia praw lub wolno\u347?ci by\u322?o ma\u322?o prawdopodobne, jak r\u243?wnie\u380? z drugiej strony obowi\u261?zek organu do podj\u281?cia dalszego post\u281?powania dowodowego, w celu w\u322?a\u347?ciwego wykazania, \u380?e wbrew twierdzeniom analizy ryzyka dane te s\u261? czytelne w stopniu umo\u380?liwiaj\u261?cych zapoznanie si\u281? z ich tre\u347?ci\u261?, jak r\u243?wnie\u380? \u380?e zakres danych na awersach ukazywanych dokument\u243?w prowadz\u261? do powstania wysokiego ryzyka naruszenia praw i wolno\u347?ci studenta prawdopodobie\u324?stwa by naruszenie to skutkowa\u322?o takim ryzykiem;
\par 
\par 3. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. w zw. z art. 84 \u167? 1, art. 77 \u167? 1 i art. 80 k.p.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie przez s\u261?d I Instancji za organem - Prezesem UODO, \u380?e jako\u347?\u263? utrwalonego materia\u322?u filmowego, umo\u380?liwia odczytanie danych z okazywanych dokument\u243?w przez student\u243?w za pomoc\u261? bli\u380?ej nieokre\u347?lonych program\u243?w komputerowych, w sytuacji kiedy ani organ ani s\u261?d I Instancji nie maj\u261? wiadomo\u347?ci specjalnych w dziedzinie informatyki, w tym grafiki komputerowej i obr\u243?bki cyfrowej zdj\u281?\u263?/film\u243?w, aby tak kategoryczne wnioski formu\u322?owa\u263?, a tym samym zast\u281?powa\u263? wiadomo\u347?ci specjalnych swoimi do\u347?wiadczeniami zawodowymi czy \u380?yciowymi, a co doprowadzi\u322?o s\u261?d do akceptacji wadliwo\u347?ci post\u281?powania administracyjnego prowadzonego przed organem i utrzymaniem w mocy zaskar\u380?onej decyzji administracyjnej wydanej na podstawie niepe\u322?nego materia\u322?u dowodowego bez powo\u322?ania bieg\u322?ego z zakresu obr\u243?bki cyfrowej obrazu i grafiki komputerowej, w celu ustalenia czy faktycznie istnia\u322?a techniczna, a zatem realna mo\u380?liwo\u347?\u263? odczytania i wykorzystania danych z dokument\u243?w ujawnionych na nagraniach pobranych w zwi\u261?zku z zaistnia\u322?ym incydentem bezpiecze\u324?stwa, a tym samym nieuprawnione zast\u281?powanie przez s\u261?d I Instancji wniosk\u243?w wymagaj\u261?cych wiedzy specjalnej, w\u322?asnymi wnioskami i twierdzeniami, w sytuacji kiedy takich wiadomo\u347?ci specjalnych nie posiada, a okoliczno\u347?ci realnego i faktycznego zagro\u380?enia wykorzystania danych znajduj\u261?cych si\u281? na przedmiotowych dokumentach s\u261? kluczowe dla oceny powstania po stronie administratora obowi\u261?zku informacyjnego, o kt\u243?rym mowa w art. 33 ust. 1 RODO oraz powstania wysokiego ryzyka naruszenia praw i wolno\u347?ci student\u243?w lub prawdopodobie\u324?stwa by naruszenie to skutkowa\u322?o takim ryzykiem, a ponadto brak odniesienia si\u281? w og\u243?le przez s\u261?d I Instancji do tego zarzutu skargi w tre\u347?ci uzasadnienia zaskar\u380?onego wyroku, co niejako wyklucza mo\u380?liwo\u347?\u263? dokonania oceny zasadno\u347?ci wyroku w tej cz\u281?\u347?ci, gdy\u380? brak jest stanowiska s\u261?du I Instancji dlaczego zarzut ten nie zas\u322?ugiwa\u322? na uwzgl\u281?dnienie;
\par 
\par 4. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie przez s\u261?d I Instancji, \u380?e skar\u380?\u261?cy poprzez przekazywanie "sygna\u322?\u243?w o ewentualnym nieuprawnionym wykorzystaniu udost\u281?pnionych danych osobowych i gro\u380?enia konsekwencjami, z jakimi takie wykorzystanie danych mo\u380?e si\u281? wi\u261?za\u263?" niejako przyzna\u322? istnienie ryzyka naruszenia praw lub wolno\u347?ci student\u243?w i w zwi\u261?zku z tym by\u322? zobowi\u261?zany do zg\u322?oszenia incydentu bezpiecze\u324?stwa organowi, przy czym prawid\u322?owa, rzetelna i swobodna ocena zebranego w sprawie materia\u322?u dowodowego prowadzi do wniosku, \u380?e dzia\u322?ania podj\u281?te przez skar\u380?\u261?cego w powy\u380?szym zakresie mia\u322?y miejsce w pocz\u261?tkowej fazie analizy ryzyka istnienia wysokiego zagro\u380?enia w zwi\u261?zku z przedmiotowym zdarzeniem, i nie potwierdzaj\u261? aby skar\u380?\u261?cy ju\u380? wtedy mia\u322? wiedz\u281? o tym, \u380?e analiza ryzyka potwierdzi istnienie tego zagro\u380?enia, a jedynie by\u322?a reakcj\u261? na samo udost\u281?pnienie danych i wi\u261?za\u322?o si\u281? tak\u380?e z obowi\u261?zkami jakie ci\u261?\u380?\u261? na studentach jako cz\u281?\u347?\u263? spo\u322?eczno\u347?ci akademickiej, m.in. ze z\u322?o\u380?onym \u347?lubowanie oraz regulacjami prawa karnego dotycz\u261?cego nieuprawnionego ujawniania danych osobowych, w tym tak\u380?e dalsze ujawnienie ni\u380? to pierwotne;
\par 
\par 5. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie przez s\u261?d I Instancji, \u380?e skar\u380?\u261?cy nie mo\u380?e "obarcza\u263? odpowiedzialno\u347?ci\u261? za naruszenie os\u243?b, kt\u243?rym udost\u281?pniono te nagrania - w omawianym przypadku nie budzi w\u261?tpliwo\u347?ci to, \u380?e to w\u322?a\u347?nie zaniechania skar\u380?\u261?cego doprowadzi\u322?y do naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko", w sytuacji kiedy prawid\u322?owa, rzetelna i swobodna ocena zebranego w sprawie materia\u322?u dowodowego wskazuje na to, \u380?e skar\u380?\u261?cy nie przeczy udost\u281?pnieniu danych i wej\u347?ciu w ich posiadanie przez 26 os\u243?b, ale na to, \u380?e osoby te nie mia\u322?y prawa pobra\u263? tych materia\u322?\u243?w, a w sytuacji kiedy nawet nie mia\u322?y o tym wiedzy, \u380?e pobranie nie jest dopuszczalne to, \u380?e dalsze czynno\u347?ci skar\u380?\u261?cego, w tym przesy\u322?ane pisma wskazywa\u322?y jedynie, \u380?e osoby, kt\u243?re dalej udost\u281?pniaj\u261? dane, czyni\u263? to b\u281?d\u261? bezprawnie, a fakt wej\u347?cia w ich posiadanie z zaniechania administratora danych, tego ich dzia\u322?ania nie ekskulpuje, a ponadto w \u380?aden spos\u243?b to dzia\u322?anie skar\u380?\u261?cego nie mia\u322?o przenie\u347?\u263? odpowiedzialno\u347?ci za zdarzenie pierwotnego udost\u281?pnienia danych na student\u243?w, co oczywiste jest nieuprawnione;
\par 
\par 6. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie przez s\u261?d I Instancji, \u380?e dane nie zosta\u322?y udost\u281?pnione tylko 26 osobom, w tym 3 nauczycielom akademickim oraz 23 studentom skar\u380?\u261?cego, a wi\u281?kszej nieustalonej liczbie os\u243?b, w sytuacji kiedy ww. 26 osoby s\u261? identyfikowalne przez administratora danych i stanowi\u261? one osoby zaufane, kt\u243?re jako destynatariusze zak\u322?adu \u346?l\u261?skiego Uniwersytetu Medycznego w Katowicach - maj\u261? obowi\u261?zek post\u281?powa\u263? zgodnie z tre\u347?ci\u261? \u347?lubowania i przepisami obowi\u261?zuj\u261?cymi w uczelni - studenci art. 107 ust. 1 ustawy Prawo o szkolnictwie wy\u380?szym i nauce (Dz. U. 2021, poz. 478 t.j. z p\u243?\u378?n. zm.), a nauczyciele akademiccy, jako funkcjonariusze publiczni, zgodnie tak\u380?e z \u322?\u261?cz\u261?cym ich z uczelni\u261? stosunkiem pracy, w tym tak\u380?e obie te grupy z przepisami powszechnie obowi\u261?zuj\u261?cymi, co w konsekwencji ogranicza wyst\u261?pienie wysokiego ryzyka naruszenia praw i wolno\u347?ci student\u243?w i prawdopodobie\u324?stwo by naruszenie to skutkowa\u322?o takim ryzykiem, co uzasadnia stanowisko skar\u380?\u261?cego zaprezentowane w analizie ryzyka;
\par 
\par 7. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. oraz art. 151 p.p.s.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie przez s\u261?d I Instancji, \u380?e "jak wynika natomiast z ustale\u324? poczynionych w niniejszej sprawie, skar\u380?\u261?cy nie rozpatrzy\u322? odnotowanego zdarzenia upublicznienia nagra\u324? obrazuj\u261?cych przebieg egzamin\u243?w z punktu widzenia ryzyka praw lub wolno\u347?ci cz\u322?owieka, kt\u243?re niew\u261?tpliwie zaistnia\u322?o", w sytuacji kiedy prawid\u322?owa, rzetelna i swobodna ocena zebranego w sprawie materia\u322?u dowodowego prowadzi do odmiennych wniosk\u243?w, gdy\u380? skar\u380?\u261?cy w\u322?a\u347?nie dokona\u322? pog\u322?\u281?bionej analizy zaistnia\u322?ego zdarzenia, w tym w kontek\u347?cie zagro\u380?enia naruszenia praw i wolno\u347?ci student\u243?w, przy czym ocena ta wykaza\u322?a w jego mniemaniu, \u380?e do udost\u281?pnienia danych dosz\u322?o, ale zagro\u380?enie naruszenia ww. praw nie jest wysokie, jak wymaga tego europejski ustawodawca, a co wi\u281?cej b\u322?\u281?dne jest ustalenie s\u261?du I Instancji, \u380?e do takiego wysokiego ryzyka "niew\u261?tpliwie dosz\u322?o", gdy\u380? materia\u322? dowodowy na to nie wskazuje, a co najmniej jest on niepe\u322?ny, by takie kategoryczne wnioski formu\u322?owa\u263?;
\par 
\par 8. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. w zw. z art. 83 ust. 1-3, art. 83 ust. 4 lit. a w zw. z art. 58 ust. 2 lit i RODO w zwi\u261?zku z art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. 2019, poz. 1781) maj\u261?ce wp\u322?yw na rozstrzygniecie poprzez b\u322?\u261?d w ustalaniach faktycznych sprawy i nieprawid\u322?owe przyj\u281?cie, \u380?e zastosowanie i wymierzenie skar\u380?\u261?cemu pieni\u281?\u380?nej kary administracyjnej w kwocie 25000 z\u322? jest prawid\u322?owe
\par 
\par i w pe\u322?ni zasadne, w sytuacji kiedy prawid\u322?owa, rzetelna i swobodna ocena zebranego w sprawie materia\u322?u dowodowego nie daje podstaw do jednoznacznego stwierdzenia, \u380?e skar\u380?\u261?cy dopu\u347?ci\u322? si\u281? naruszenia art. 33 ust. 1 i art. 34 ust. 1 RODO, kt\u243?rych naruszenie skutkowa\u322?oby zasadno\u347?ci\u261? na\u322?o\u380?enia sankcji finansowej na skar\u380?\u261?cego i akceptami w tym zakresie stanowiska organu;
\par 
\par 9. art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. w zw. z art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a, b i f RODO w zw. z art. 8 \u167? 1 k.p.a. maj\u261?ce wp\u322?yw na rozstrzygniecie, polegaj\u261?ce na wymierzeniu skar\u380?\u261?cemu pieni\u281?\u380?nej kary administracyjnej za naruszenie przepis\u243?w ww. rozporz\u261?dzenia:
\par 
\par a. uznaj\u261?c b\u322?\u281?dnie wbrew wnioskom wynikaj\u261?cym z prawid\u322?owej, rzetelnej i
\par 
\par swobodnej oceny zebranego materia\u322?u dowodowego, \u380?e w niniejszej sprawie naruszenie mia\u322?o znaczn\u261? wag\u281? i powa\u380?ny charakter, w sytuacji kiedy jako\u347?\u263? utrwalonego materia\u322?u filmowego, wyklucza mo\u380?liwo\u347?\u263? odczytania danych na okazanych dokumentach, a tym samym powstanie szk\u243?d maj\u261?tkowych w przysz\u322?o\u347?ci i wysokiego ryzyka naruszenia praw i wolno\u347?ci student\u243?w lub i prawdopodobie\u324?stwo by naruszenie to skutkowa\u322?o takim ryzykiem istnia\u322?o; akceptacji nieprawid\u322?owego ustalenia stan faktycznego przez organ i przyj\u281?cia d\u322?ugiego czasu trwania naruszenia ze wzgl\u281?du na brak powiadomienia przez administratora os\u243?b oraz organu, a tak\u380?e b\u322?\u281?dne przyj\u281?cie, \u380?e ujawnienie dokument\u243?w nast\u261?pi\u322?o w zakresie 156 student\u243?w (6 os\u243?b x 26 grup studenckich), w sytuacji kiedy nie wszyscy okazywali na nagraniach dokumenty to\u380?samo\u347?ci;
\par 
\par b. pomijaj\u261?c okoliczno\u347?ci, \u380?e skar\u380?\u261?cy dokona\u322? szczeg\u243?\u322?owej analizy ryzyka, wykona\u322? poprawki w systemie informatycznym, a wynik tej analizy nie wykaza\u322? aby zagro\u380?enie mia\u322?o charakter realny w niniejszej sprawie, w sytuacji, w kt\u243?rej skar\u380?\u261?cy dzia\u322?a\u322? w oparciu o wyj\u261?tek od obowi\u261?zku zawiadomienia organu, przewidziany w art. 33 ust. 1 RODO, co nie mo\u380?e by\u263? uznane za \u347?wiadome (umy\u347?lne) naruszenie tego obowi\u261?zku, skoro ustawodawca europejski administratorowi przyznaje kompetencje do oceny ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych w zwi\u261?zku z zaistnia\u322?ym incydentem bezpiecze\u324?stwa w\u322?a\u347?nie administratorowi danych;
\par 
\par c. uznaj\u261?c b\u322?\u281?dnie, \u380?e wsp\u243?\u322?praca skar\u380?\u261?cego by\u322?a "niezadowalaj\u261?ca", w sytuacji kiedy analiza materia\u322?u dowodowego w niniejszej sprawie oraz w sprawach indywidualnych skarg prowadzi do zgo\u322?a odmiennego wniosku, \u380?e skar\u380?\u261?cy do\u322?o\u380?y\u322? nale\u380?ytej staranno\u347?ci i terminowo\u347?ci w kontakcie z organem i nie uchybi\u322? swoim obowi\u261?zkom w tym zakresie, przyczyni\u322? si\u281? do przeprowadzenia post\u281?powania dowodowego oraz przedstawi\u322? wszelkie niezb\u281?dne dokumenty i informacje; niezasadnym uznaniu za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? skar\u380?\u261?cego w zakresie braku wsp\u243?\u322?pracy z organem, w sytuacji, w kt\u243?rej skar\u380?\u261?cy dzia\u322?a\u322? w oparciu o wyj\u261?tek od obowi\u261?zku podania informacji osobom, kt\u243?rych dane dotycz\u261? i zg\u322?oszenia incydentu bezpiecze\u324?stwa do organu, a przewidziany w art. 33 ust. 1 RODO, a zarazem dzia\u322?ania skar\u380?\u261?cego w przekonaniu, \u380?e nie wyst\u281?puje jakiekolwiek wysokie ryzyko naruszenia praw i wolno\u347?ci student\u243?w lub i prawdopodobie\u324?stwo by naruszenie to skutkowa\u322?o takim ryzykiem, wobec czego Organ nie powinien by\u322? potraktowa\u263? jego postawy jako okoliczno\u347?ci obci\u261?\u380?aj\u261?cej i wp\u322?ywaj\u261?cej na wymiar kary;
\par 
\par 10. maj\u261?c na uwadze naruszenia z punkt\u243?w 8 i 9 powy\u380?ej art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. w zw. z art. 83 ust. 1 i 2 i art. 84 ust. 1 RODO w zwi\u261?zku z art. 8 \u167? 1 k.p.a. maj\u261?ce wp\u322?yw na zapad\u322?e rozstrzygni\u281?cie, polegaj\u261?ce na b\u322?\u281?dnym ustaleniu faktycznym, \u380?e wymierzona kara uwzgl\u281?dnia dyrektywy indywidualizacji jej wymiaru, w\u322?a\u347?ciw\u261? ocen\u281? ca\u322?okszta\u322?tu okoliczno\u347?ci sprawy i jest ona proporcjonalna, skuteczna oraz odstraszaj\u261?ca, a tak\u380?e b\u322?\u281?dne przyj\u281?cie przez s\u261?d I Instancji, wbrew zebranemu materia\u322?u dowodowemu, \u380?e zastosowanie kary okaza\u322?o si\u281? "[...] niezb\u281?dne, zwa\u380?ywszy tak\u380?e na to, \u380?e skar\u380?\u261?cy zignorowa\u322? fakt, i\u380? do naruszenia ochrony danych dochodzi zar\u243?wno w\u243?wczas, gdy do zdarzenia dojedzie wskutek \u347?wiadomego dzia\u322?ania, jak i wtedy, gdy doprowadzi do niego nieumy\u347?lno\u347?\u263?", co nie znajduje potwierdzenia w materiale dowodowym, gdy\u380? skar\u380?\u261?cy na \u380?adnym etapie prowadzenia post\u281?powania w zwi\u261?zku z zaistnia\u322?ym incydentem bezpiecze\u324?stwa nie ignorowa\u322? powsta\u322?ego udost\u281?pnienia danych i ma \u347?wiadomo\u347?\u263?, \u380?e do zdarzenia udost\u281?pnienia danych mo\u380?e doj\u347?\u263? tak\u380?e w spos\u243?b nieumy\u347?lny, a jedynie w wyniku przeprowadzenia analizy ryzyka przedmiotowego zdarzenia uzna\u322?, \u380?e nie zachodzi wysokie ryzyko naruszenia praw i wolno\u347?ci student\u243?w i prawdopodobie\u324?stwo by naruszenie to skutkowa\u322?o takim ryzykiem, co nie mo\u380?e by\u263? postrzegane jak zachowanie polegaj\u261?ce na "ignorowaniu" zaistnia\u322?ego incydentu, a tym samym nieuzasadnionego na\u322?o\u380?enia kary administracyjnej w og\u243?le na skar\u380?\u261?cego, a na pewno w nieproporcjonalnej wysoko\u347?ci;
\par 
\par II. naruszenie przepis\u243?w prawa materialnego, tj.:
\par 
\par 1. naruszenie przepis\u243?w prawa materialnego maj\u261?ce istotny wp\u322?yw na wydanie zaskar\u380?onego wyroku, tj. art. 33 ust. 1 RODO poprzez b\u322?\u281?dn\u261? wyk\u322?adni\u281? i przyj\u281?cie, \u380?e obowi\u261?zek administratora danych osobowych do zg\u322?oszenia zaistnia\u322?ego incydentu naruszenia danych osobowych aktualizuje si\u281? z chwil\u261? samego wyst\u261?pienia zdarzenia w postaci tego naruszenia, bez uwzgl\u281?dniania faktycznego i realnego istnienia ryzyka w naruszeniu d\u243?br wskazanych w tym przepisie w danej konkretnej sprawie, tj. w oderwaniu od stanu faktycznego tej sprawy, a w konsekwencji dokonania wyk\u322?adni ww. normy in abstracto z pomini\u281?ciem przeprowadzonej przez skar\u380?\u261?cego analizy prawdopodobie\u324?stwa wyst\u261?pienia wskazanego ryzyka, w sytuacji kiedy prawid\u322?owa wyk\u322?adnia funkcjonalna prowadzi do wniosku, \u380?e u\u380?yte przez ustawodawc\u281? europejskiego zastrze\u380?enie "chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych", wi\u261?\u380?e si\u281? samo w sobie z tym, i\u380? ocena tego prawdopodobie\u324?stwa nale\u380?y do administratora danych i to on ma z jednej stron obowi\u261?zek przeprowadzenia analizy ryzyka i wykazania jakimi kierowa\u322? si\u281? przes\u322?ankami uznaj\u261?c, \u380?e prawdopodobie\u324?stwo to by\u322?o znaczne albo ma\u322?e w stopniu uzasadniaj\u261?cym odst\u261?pienie od zawiadomienia, a po wt\u243?re stanowi to jego uprawnienie, kt\u243?rego organ nie mo\u380?e kwestionowa\u263? w szczeg\u243?lno\u347?ci, \u380?e w toku post\u281?powania wyja\u347?niaj\u261?cego organ nie zasygnalizowa\u322?, \u380?e oczekuje formalnego zg\u322?oszenia naruszenia w trybie art. 33 ust. 1 ww. RODO, bo w jego ocenie analiza przeprowadzona przez skar\u380?\u261?cego by\u322?a w tej materii b\u322?\u281?dna;
\par 
\par 2. naruszenie przepis\u243?w prawa materialnego maj\u261?ce istotny wp\u322?yw na wydanie zaskar\u380?onej decyzji, tj. art. 33 ust. 1 RODO poprzez b\u322?\u281?dn\u261? wyk\u322?adni\u281? i przyj\u281?cie, \u380?e to ocena zaistnia\u322?ego zdarzenia dokonana przez organ nadzorczy decyduje o zaistnieniu obowi\u261?zku zg\u322?oszenia mu incydentu naruszenia danych osobowych, w sytuacji kiedy wyk\u322?adnia funkcjonalna ww. normy kreuje prawo i obwi\u261?zek oceny ryzyka zagro\u380?enia takiego naruszenia dla wolno\u347?ci i praw os\u243?b fizycznych wy\u322?\u261?cznie administratorowi danych, i to ta ocena stanowi podstaw\u281? dalszych dzia\u322?a\u324? jakie administrator ten podejmie - obowi\u261?zkiem jest dokonanie takiej oceny, a tym samym wyst\u261?pienie po stronie skar\u380?\u261?cego w rozpatrywanej sprawie zw\u322?oki w powiadomieniu organu, z\u322?o\u380?eniu wyja\u347?nie\u324? organowi nadzorczemu w przedmiotowym zakresie;
\par 
\par 3. naruszenie przepis\u243?w prawa materialnego maj\u261?ce istotny wp\u322?yw na wydanie zaskar\u380?onej decyzji, tj. art. 34 ust. 1 RODO poprzez b\u322?\u281?dn\u261? wyk\u322?adni\u281? i przyj\u281?cie, \u380?e obowi\u261?zek administratora danych osobowych do zg\u322?oszenia zaistnia\u322?ego incydentu naruszenia danych osobowych oraz zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261? aktualizuje si\u281? z chwil\u261? samego wyst\u261?pienia zdarzenia w postaci tego naruszenia, bez uwzgl\u281?dniania faktycznego i realnego istnienia ryzyka i to wysokiego w naruszeniu d\u243?br wskazanych w tym przepisie w danej konkretnej sprawie, tj. w oderwaniu od stanu faktycznego tej sprawy, a w konsekwencji dokonania wyk\u322?adni ww. normy in abstracto z pomini\u281?ciem przeprowadzonej przez skar\u380?\u261?cego analizy prawdopodobie\u324?stwa wyst\u261?pienia wskazanego ryzyka, w sytuacji kiedy prawid\u322?owa wyk\u322?adnia funkcjonalna prowadzi do wniosku, \u380?e u\u380?yte przez ustawodawc\u281? europejskiego zastrze\u380?enie "wysokie ryzyko", wi\u261?\u380?e si\u281? samo w sobie z tym, i\u380? ocena stopnia tego ryzyka nale\u380?y do administratora danych i to on ma z jednej stron obowi\u261?zek przeprowadzenia analizy ryzyka i wykazania jakimi kierowa\u322? si\u281? przes\u322?ankami uznaj\u261?c, \u380?e prawdopodobie\u324?stwo to by\u322?o wysokie albo ni\u380?sze w stopniu uzasadniaj\u261?cym odst\u261?pienie od zawiadomienia organu i os\u243?b zainteresowanych, a po wt\u243?re stanowi to jego uprawnienie, kt\u243?rego organ nie mo\u380?e kwestionowa\u263? w szczeg\u243?lno\u347?ci, \u380?e materia\u322? dowodowy zebrany w sprawie w ocenie skar\u380?\u261?cego nie jest pe\u322?ny i nie wskazuje na wyst\u261?pienie wysokiego ryzyka, a mimo to skar\u380?\u261?cy dokona\u322? prewencyjnego zawiadomienia student\u243?w.
\par 
\par W odpowiedzi na skarg\u281? kasacyjn\u261? organ wni\u243?s\u322? o jej oddalenie.
\par 
\par Naczelny S\u261?d Administracyjny zwa\u380?y\u322?, co nast\u281?puje.
\par 
\par Stosownie do art. 183 \u167? 1 p.p.s.a. Naczelny S\u261?d Administracyjny rozpoznaje spraw\u281? w granicach skargi kasacyjnej, bior\u261?c pod rozwag\u281? z urz\u281?du jedynie niewa\u380?no\u347?\u263? post\u281?powania. W rozpoznawanej sprawie nie zachodzi \u380?adna z okoliczno\u347?ci skutkuj\u261?cych niewa\u380?no\u347?ci\u261? post\u281?powania, o jakich mowa w art. 183 \u167? 2 p.p.s.a. i nie zachodzi \u380?adna z przes\u322?anek, o kt\u243?rych mowa w art. 189 p.p.s.a., kt\u243?re Naczelny S\u261?d Administracyjny rozwa\u380?a z urz\u281?du dokonuj\u261?c kontroli zaskar\u380?onego skarg\u261? kasacyjn\u261? wyroku. Wobec tego Naczelny S\u261?d Administracyjny przeszed\u322? do zbadania zarzut\u243?w kasacyjnych.
\par 
\par Skarga kasacyjna nie zas\u322?ugiwa\u322?a na uwzgl\u281?dnienie.
\par 
\par Skar\u380?\u261?cy kasacyjnie zarzuci\u322? zaskar\u380?onemu orzeczeniu naruszenie zar\u243?wno przepis\u243?w prawa materialnego, jak te\u380? przepis\u243?w post\u281?powania. W takiej sytuacji, co do zasady, jako pierwsze podlegaj\u261? rozpatrzeniu zarzuty naruszenia przepis\u243?w post\u281?powania, gdy\u380? weryfikacja prawid\u322?owo\u347?ci wyk\u322?adni lub zastosowania przepis\u243?w prawa materialnego, dokonana przez s\u261?d I instancji, jest mo\u380?liwa jedynie w przypadku stwierdzenia braku uchybie\u324? natury procesowej, mog\u261?cych mie\u263? istotny wp\u322?yw na tre\u347?\u263? rozstrzygni\u281?cia.
\par 
\par W ramach podstawy z art. 174 pkt 2 p.p.s.a. autor skargi kasacyjnej podni\u243?s\u322? 10 zarzut\u243?w, w tym zarzut 9. rozbudowany wewn\u281?trznie na trzy podpunkty. Istota zarzut\u243?w procesowych sprowadza si\u281? do zakwestionowania ustale\u324? faktycznych przyj\u281?tych przez s\u261?d I instancji za podstaw\u281? poddanego kontroli instancyjnej wyroku. Wola wzruszenia ustale\u324? faktycznych zosta\u322?a wyra\u380?ona w spos\u243?b niebudz\u261?cy w\u261?tpliwo\u347?ci. Wszystkie zarzuty oparte zosta\u322?y o naruszenie przepis\u243?w art. 134 \u167? 1 w zw. z art. 133 \u167? 1 i art. 141 \u167? 4 p.p.s.a. W ka\u380?dym z zarzut\u243?w dodatkowo wskazano dodatkowe przepisy, kt\u243?re mia\u322?y zosta\u263? naruszone obok wy\u380?ej podanych oraz wskazano skonkretyzowane dzia\u322?anie s\u261?du, kt\u243?re mia\u322?o doprowadzi\u263? do naruszenia przepis\u243?w. Zarzuty te s\u261? nieuzasadnione. W pierwszym rz\u281?dzie nast\u261?pi odniesienie si\u281? do wsp\u243?lnej podstawy prawnej wszystkich zarzut\u243?w, a nast\u281?pnie do podstaw prawnych odr\u281?bnych podanych w ka\u380?dym z zarzut\u243?w.
\par 
\par Zgodnie z przepisem art. 174 pkt 1 i 2 naruszenie prawa przez s\u261?d mo\u380?e polega\u263? na b\u322?\u281?dnej jego wyk\u322?adni lub niew\u322?a\u347?ciwym zastosowaniu. W pierwszym przypadku obowi\u261?zkiem autora skargi kasacyjnej jest wskazanie na czym polega b\u322?\u261?d wyk\u322?adni i jako winna by\u263? jego prawid\u322?owa wyk\u322?adnia. W drugim przypadku konieczne jest wskazanie na czym polega\u322?o niew\u322?a\u347?ciwe zastosowanie prawa i jak prawid\u322?owo powinien przebiega\u263? proces podci\u261?gni\u281?cia ustalonego faktu pod stosowan\u261? norm\u281? materialn\u261?. Rozpoznawana skarga kasacyjna, w odniesieniu do zarzut\u243?w formalnych, uchybia temu obowi\u261?zkowi, co zasadniczo jest wystarczaj\u261?cym powodem jej bezzasadno\u347?ci, gdy\u380? na skutek tego b\u322?\u281?du nie dosz\u322?o do wyznaczenia zakresu kontroli instancyjnej Naczelnemu S\u261?dowi Administracyjnemu. Nie s\u261? to jednak jedyne uchybienia, kt\u243?re pozbawiaj\u261? skarg\u281? kasacyjn\u261? zasadno\u347?\u263?.
\par 
\par Zgodnie z art. 134 \u167? 1 p.p.s.a. s\u261?d rozstrzyga w granicach danej sprawy nie b\u281?d\u261?c jednak zwi\u261?zany zarzutami i wnioskami skargi oraz powo\u322?an\u261? podstaw\u261? prawn\u261?. Przepis ten okre\u347?la granice rozpoznania skargi przez s\u261?d administracyjny pierwszej instancji, nak\u322?adaj\u261?c na niego obowi\u261?zek zbadania w pe\u322?nym zakresie tre\u347?ci zaskar\u380?onego aktu pod wzgl\u281?dem jego zgodno\u347?ci z prawem. Poj\u281?cia sprawy, o jakiej mowa w tym przepisie, nale\u380?y \u322?\u261?czy\u263? z poj\u281?ciem sprawy administracyjnej, o kt\u243?rej mowa w art. 1 pkt 1 k.p.a. Konstrukcja sprawy administracyjnej oparta jest na dw\u243?ch filarach: normatywnym i realnym. Elementami normatywnymi ka\u380?dej sprawy administracyjnej jest, po pierwsze norma kompetencyjna uprawniaj\u261?ca organ do konkretyzacji prawa materialnego (J. Filipek, O podmiotowo\u347?ci administracyjno-prawnej, PiP 1961 nr 2, s. 199 i nast.; J. Borkowski, Zagadnienie kompetencji og\u243?lnej i szczeg\u243?lnej w prawie administracyjnym, SP 1971/31, s. 64), po drugie norma materialnego prawa administracyjnego, kt\u243?ra ma zosta\u263? w sprawie zastosowana w drodze aktu administracyjnego ze wzgl\u281?du na okre\u347?lone okoliczno\u347?ci faktyczne okre\u347?lone w jej tre\u347?ci. Do element\u243?w realnych sprawy administracyjnej zalicza si\u281? podmiot czynny (organ, na kt\u243?rym ci\u261?\u380?y obowi\u261?zek podj\u281?cia czynno\u347?ci jurysdykcyjnych) i podmiot bierny, kt\u243?rego uprawnienia i obowi\u261?zki maj\u261? zosta\u263? autorytatywnie skonkretyzowane (J. Zimmermann, Polska jurysdykcja administracyjna, Warszawa 1996, s. 37, 63). Elementami realnymi sprawy s\u261? tak\u380?e fakty sprawy, tj. stan faktyczny, od kt\u243?rego zale\u380?y mo\u380?liwo\u347?\u263? podj\u281?cia decyzji stosowania prawa i stan faktyczny, od kt\u243?rego zale\u380?y tre\u347?\u263? rozstrzygni\u281?cia (J. Zimmermann, Polska jurysdykcja administracyjna, Warszawa 1996, s. 90).
\par 
\par Przepis ten okre\u347?la zatem granice rozpoznania skargi przez s\u261?d administracyjny pierwszej instancji, za\u347? granice danej sprawy wyznacza w pierwszym rz\u281?dzie jej przedmiot wynikaj\u261?cy z tre\u347?ci zaskar\u380?onego dzia\u322?ania organu administracji publicznej. Oznacza to, \u380?e o naruszeniu normy wynikaj\u261?cej z powy\u380?szego przepisu mo\u380?na by\u322?oby m\u243?wi\u263?, gdyby s\u261?d wykroczy\u322? poza granice sprawy, w kt\u243?rej zosta\u322?a wniesiona skarga, albo \u8211? mimo wynikaj\u261?cego z tego przepisu obowi\u261?zku \u8211? nie wyszed\u322? poza zarzuty i wnioski skargi, np. nie zauwa\u380?aj\u261?c narusze\u324? prawa, kt\u243?re nie by\u322?y powo\u322?ane przez skar\u380?\u261?cego, a kt\u243?re s\u261?d I instancji zobowi\u261?zany by\u322? uwzgl\u281?dni\u263? z urz\u281?du. W ramach zarzutu naruszenia art. 134 \u167? 1 p.p.s.a. nie mo\u380?na kwestionowa\u263? dokonanej przez s\u261?d oceny ustalonego stanu faktycznego z punktu widzenia jego zgodno\u347?ci lub niezgodno\u347?ci z maj\u261?cym zastosowanie w sprawie stanem prawnym, czy te\u380? prawid\u322?owo\u347?ci dokonanej przez s\u261?d oceny dzia\u322?a\u324? organu administracji publicznej pod k\u261?tem zachowania przepis\u243?w procedur obowi\u261?zuj\u261?cych ten organ, tj. poprawno\u347?ci ustale\u324? faktycznych (por. m. in. wyrok NSA z 25 marca 2011 r., I FSK 1862/09; wyrok NSA z 11 kwietnia 2007 r., II OSK 610/06; postanowienie NSA z 11 stycznia 2012 r., I OSK 2438/11; wyrok NSA z 15 pa\u378?dziernika 2015 r., I GSK 241/14). W ramach zarzutu naruszenia art. 134 \u167? 1 p.p.s.a. nie mo\u380?na tak\u380?e kwestionowa\u263? prawid\u322?owo\u347?ci zaj\u281?tego stanowiska prawnego i wyra\u380?onych w uzasadnieniu zaskar\u380?onego wyroku pogl\u261?d\u243?w (por. wyrok NSA z 2 lipca 2015 r., I OSK 450/15), ani prawid\u322?owo\u347?ci oceny materia\u322?u dowodowego (por. wyrok NSA z 21 pa\u378?dziernika 2010 r., I GSK 264/09).
\par 
\par Naczelny S\u261?d Administracyjny stoi na stanowisku, i\u380? s\u261?d I instancji orzeka\u322? w granicach sprawy administracyjnej w powy\u380?szym rozumieniu, gdy\u380? przedmiotem kontroli uczyni\u322? spraw\u281? zakre\u347?lon\u261? granicami formalnymi i normatywnymi w decyzji Prezesa UODO z 5 stycznia 2021 r. W tym sensie nie dosz\u322?o do naruszenia przepisu art. 134 \u167? 1 p.p.s.a. Zauwa\u380?y\u263? jednocze\u347?nie nale\u380?y, i\u380? zarzut naruszenia tego przepisu zosta\u322? podniesiony w celu zakwestionowania decyzji dowodowej s\u261?du I instancji, a wi\u281?c decyzji w przedmiocie stanu faktycznego, jaki przyj\u261?\u322? za podstaw\u281? wyrokowania. Przepis art. 134 \u167? 1 p.p.s.a. nie mo\u380?e s\u322?u\u380?y\u263? tym celom, co czyni go nieuzasadnionym.
\par 
\par Zgodnie z art. 133 \u167? 1 p.p.s.a. "s\u261?d wydaje wyrok po zamkni\u281?ciu rozprawy na podstawie akt sprawy, chyba \u380?e organ nie wykona\u322? obowi\u261?zku, o kt\u243?rym mowa w art. 54 \u167? 2. Wyrok mo\u380?e by\u263? wydany na posiedzeniu niejawnym w post\u281?powaniu uproszczonym albo je\u380?eli ustawa tak stanowi". Orzekanie "na podstawie akt sprawy" oznacza, \u380?e s\u261?d przy ocenie legalno\u347?ci decyzji bierze pod uwag\u281? okoliczno\u347?ci, kt\u243?re z akt tych wynikaj\u261? i kt\u243?re leg\u322?y u podstaw zaskar\u380?onego aktu. Podstaw\u261? orzekania przez s\u261?d administracyjny jest zatem materia\u322? dowodowy zgromadzony przez organ administracji publicznej w toku post\u281?powania. Skoro wyrok wydawany jest na podstawie akt sprawy, to tym samym badaj\u261?c legalno\u347?\u263? zaskar\u380?onej decyzji s\u261?d ocenia jej zgodno\u347?\u263? z prawem materialnym i procesowym w aspekcie ca\u322?o\u347?ci zgromadzonego w post\u281?powaniu administracyjnym materia\u322?u dowodowego (por. wyrok NSA z 9 lipca 2008 r., II OSK 795/07). Podstaw\u261? orzekania s\u261?du jest zatem materia\u322? zgromadzony przez organy w toku ca\u322?ego post\u281?powania przed tymi organami oraz przed s\u261?dem (uwzgl\u281?dniaj\u261?c tre\u347?\u263? art. 106 \u167? 3 p.p.s.a.). Wskazany wy\u380?ej przepis m\u243?g\u322?by zosta\u263? naruszony, gdyby s\u261?d wyszed\u322? poza ten materia\u322? i dopu\u347?ci\u322? na przyk\u322?ad w post\u281?powaniu s\u261?dowym dow\u243?d z przes\u322?uchania \u347?wiadk\u243?w. Obowi\u261?zek wydania wyroku na podstawie akt sprawy oznacza bowiem jedynie zakaz wyj\u347?cia poza materia\u322? znajduj\u261?cy si\u281? w aktach sprawy (por. wyrok NSA z 7 marca 2013 r., II GSK 2374/11).
\par 
\par Nale\u380?y odr\u243?\u380?ni\u263? poddanie s\u261?dowej kontroli dzia\u322?alno\u347?ci administracji publicznej na podstawie innego materia\u322?u ni\u380? akta sprawy od wydania wyroku na podstawie akt sprawy, z przyj\u281?ciem np. odmiennej oceny materia\u322?u dowodowego zawartego w tych aktach (por. wyrok NSA z 5 kwietnia 2012 r., I OSK 1749/11). Nie jest naruszeniem art. 133 \u167? 1 p.p.s.a. zaakceptowanie przez s\u261?d jako zgodnej z przepisami post\u281?powania oceny materia\u322?u dowodowego oraz przyj\u281?cia za prawid\u322?owe ustale\u324? faktycznych b\u281?d\u261?cych konsekwencj\u261? tej oceny nawet, gdyby nie uwzgl\u281?dnia\u322?o ono ca\u322?o\u347?ci materia\u322?u dowodowego (por. wyrok NSA z 13 maja 2008 r., II FSK 419/0). W ramach zarzutu art. 133 \u167? 1 p.p.s.a. nie mo\u380?na te\u380? skutecznie kwestionowa\u263? dokonanej przez s\u261?d oceny zaskar\u380?onej decyzji \u8211? r\u243?wnie\u380? z punktu widzenia poprawno\u347?ci uzasadnienia faktycznego i prawnego decyzji - oraz innych dokument\u243?w, o ile dokumenty te znajduj\u261? si\u281? w materiale zgromadzonym w aktach sprawy. Przepis art. 133 \u167? 1 p.p.s.a. nie mo\u380?e s\u322?u\u380?y\u263? kwestionowaniu oceny materia\u322?u dowodowego, jak i ustale\u324? i oceny ustalonego w sprawie stanu faktycznego dokonanych przez s\u261?d I instancji, z kt\u243?r\u261? nie zgadza si\u281? organ administracji publicznej (por. wyroki NSA z: 9 listopada 2011 r., I OSK 1350/11; 17 listopada 2011 r., II OSK 1609/10). Z przepisu tego wynika wi\u281?c nakaz wyprowadzania oceny prawnej na gruncie fakt\u243?w i dowod\u243?w znajduj\u261?cych odzwierciedlenie w aktach sprawy (por. wyroki NSA z: 26 maja 2010 r., I FSK 497/09; 19 pa\u378?dziernika 2010 r., II OSK 1645/09; 5 czerwca 2012 r., II OSK 763/12). Rozpoznawany zarzut zosta\u322? podniesiony w\u322?a\u347?nie w celu zakwestionowania stanu faktycznego, co czyni go nieuzasadniony.
\par 
\par Przepis art. 141 \u167? 4 p.p.s.a. jest przepisem proceduralnym, reguluj\u261?cym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny S\u261?d Administracyjny zobowi\u261?zany jest jedynie do kontroli zgodno\u347?ci uzasadnienia zaskar\u380?onego wyroku z wymogami wynikaj\u261?cymi z powy\u380?szej normy prawnej. O naruszeniu tego przepisu mo\u380?na m\u243?wi\u263? w przypadku, gdy uzasadnienie zaskar\u380?onego wyroku nie spe\u322?nia jednego z ustawowych, wymienionych w jego tre\u347?ci warunk\u243?w. Wyrok s\u261?du I instancji nie b\u281?dzie poddawa\u322? si\u281? kontroli s\u261?dowoadministracyjnej w przypadku braku wymaganych prawem cz\u281?\u347?ci (np. nieprzedstawienia stanu sprawy, czy te\u380? niewskazania lub niewyja\u347?nienia podstawy prawnej rozstrzygni\u281?cia), a tak\u380?e w\u243?wczas, gdy b\u281?d\u261? one co prawda obecne, niemniej jednak obejmowa\u263? b\u281?d\u261? tre\u347?ci podane w spos\u243?b niejasny, czy te\u380? nielogiczny, uniemo\u380?liwiaj\u261?cy jednoznaczne ustalenie stanu faktycznego i prawnego, stanowi\u261?cego podstaw\u281? kontrolowanego wyroku s\u261?du (por. wyroki NSA z 15 czerwca 2010 r., II OSK 986/09; z 12 marca 2015 r., I OSK 2338/13, publik. CBOSA). Uzasadnienie zaskar\u380?onego wyroku zawiera przedstawienie stanu sprawy, zarzut\u243?w podniesionych w skardze, stanowiska strony przeciwnej, podstaw\u281? prawn\u261? rozstrzygni\u281?cia oraz jej wyja\u347?nienie. Z wywod\u243?w s\u261?du wynika, dlaczego w jego ocenie nie dosz\u322?o do naruszenia prawa wskazanego w skardze i jaki stan faktyczny przyj\u261?\u322? za podstaw\u281? orzekania. s\u261?d I instancji w dostateczny spos\u243?b wyja\u347?ni\u322? motywy podj\u281?tego rozstrzygni\u281?cia. Polemika z ocen\u261? prawid\u322?owo\u347?ci uzasadnienia decyzji administracyjnej dokonan\u261? przez s\u261?d nie mo\u380?e sprowadza\u263? si\u281? do zarzutu naruszenia powo\u322?anego przepisu, gdy\u380? przepis art. 141 \u167? 4 p.p.s.a. s\u322?u\u380?y ocenie poprawno\u347?ci uzasadnienia wyroku s\u261?du I instancji. Dodatkowo zauwa\u380?y\u263? nale\u380?y, i\u380? autor skargi kasacyjnej wskazuje na naruszenia art. 141 \u167? 4 p.p.s.a. celem wzruszenia ustale\u324? faktycznych przyj\u281?tych za podstaw\u281? wydania wyroku. Przepis ten nie mo\u380?e s\u322?u\u380?y\u263? tym celom. Uzasadnienie wyroku jest sporz\u261?dzane ju\u380? po jego wydaniu. Ma zatem wt\u243?rny charakter. Decyzj\u281? dowodow\u261?, z kt\u243?rej wynika stan faktyczny, przyjmowany za podstaw\u281? orzeczenia S\u261?d podejmuje za\u347? na naradzie poprzedzaj\u261?cej wyrokowania. Jest to wi\u281?c wcze\u347?niejszy etap czynno\u347?ci procesowych s\u261?du. Ze wzgl\u281?du na chronologie czynno\u347?ci procesowych s\u261?du zarzut naruszenia art. 141 \u167? 4 p.p.s.a. a limine nie mo\u380?e s\u322?u\u380?y\u263? wzruszeniu ustale\u324? fatycznych s\u261?du. Tym samym zarzut w zakresie naruszenia art. 141 \u167? 4 p.p.s.a. nale\u380?a\u322?o uzna\u263? za niezasadny.
\par 
\par Naruszenie powy\u380?szych przepis\u243?w stanowi\u322?o rdze\u324? ka\u380?dego z zarzut\u243?w od 1. do 10. Naruszenie wszystkich innych pozostawa\u322?o jedynie w zwi\u261?zku z rdzeniem ka\u380?dego zarzutu w postaci naruszenia art. 134 \u167? 1, art. 133 \u167? i art. 141 \u167? 4 p.p.s.a. W zarzutach 1., 2., 3.-7. Jako dodatkowo naruszony wskazano przepis art. 151 p.p.s.a. Zarzut naruszenia tego przepisu jest tak\u380?e nieuzasadniony. Jest to przepis og\u243?lny (blankietowy), co oznacza, \u380?e powo\u322?uj\u261?c si\u281? na zarzut naruszenia tej normy skar\u380?\u261?cy kasacyjnie zobowi\u261?zany by\u322? powi\u261?za\u263? go z zarzutem naruszenia konkretnych przepis\u243?w, kt\u243?rym uchybi\u322? s\u261?d I instancji w toku rozpatrywania sprawy. Orzeczenie oddalaj\u261?ce skarg\u281? nie jest bowiem skutkiem zastosowania jedynie art. 151 p.p.s.a., ale nast\u281?pstwem ustale\u324? poprzedzaj\u261?cych wydanie wyroku i zastosowania przepis\u243?w nak\u322?adaj\u261?cych na s\u261?d I instancji obowi\u261?zek dokonania tego rodzaju ustale\u324? (por. wyrok Naczelnego S\u261?du Administracyjnego z 10 lutego 2017 r. II FSK 110/15). Wymogom tym w skardze kasacyjnej nie sprostano, gdy\u380? inne przepisy wskazane w tych zarzutach okaza\u322?y si\u281? nieuzasadnione. Brak wskazania lub wskazanie przepis\u243?w, kt\u243?rych zarzut naruszenia oceniono jako bezpodstawny oznacza, \u380?e zarzut naruszenia przywo\u322?anego przepisu wynikowego, nie mo\u380?e odnie\u347?\u263? skutku oczekiwanego przez stron\u281? wnosz\u261?c\u261? skarg\u281? kasacyjn\u261?.
\par 
\par Zarzut naruszenia przepis\u243?w art. 84 \u167? 1 k.p.a. w zw. z art. 77 \u167? 1 k.p.a. wskazanych w zarzucie 3. jest nieuzasadniony. Na zarzut naruszenia tych przepis\u243?w spojrze\u263? nale\u380?y przez pryzmat strony przedmiotowej rozpoznawanej sprawy administracyjnej, w tym innych okoliczno\u347?ci faktycznych sprawy. Przedmiotem tym by\u322?o na\u322?o\u380?enie grzywny na administratora danych osobowych za zachowanie polegaj\u261?ce na niezg\u322?oszeniu organowi naruszenia danych osobowych bez zb\u281?dnej zw\u322?oki oraz niezawiadomienia o naruszeniu danych osobowych bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane osobowe zosta\u322?y ujawnione. Brak realizacji tych czynno\u347?ci jest niew\u261?tpliwy. Skar\u380?\u261?cy podj\u261?\u322? trud wykazania, i\u380? nie spoczywa\u322? na nim taki obowi\u261?zek, co okaza\u322?o si\u281? nieskuteczne. Oznacza to, \u380?e obowi\u261?zki, o kt\u243?rych mowa w art. 33 ust. 1 RODO i art. 34 ust. 1 RODO nie zosta\u322?y realizowane. Obowi\u261?zek z art. 77 \u167? 1 k.p.a. wi\u261?\u380?e si\u281? z wyczerpuj\u261?cym wyja\u347?nieniem sprawy. Ustawodawca nie sformu\u322?owa\u322? zatem jednego paradygmatu czynno\u347?ci procesowych organu, kt\u243?re winien przeprowadzi\u263? w ka\u380?dej sprawie. Ocena konieczno\u347?ci dokonania takich lub innych czynno\u347?ci dowodowych wynika zatem z ca\u322?okszta\u322?tu okoliczno\u347?ci sprawy. Nale\u380?y zgodzi\u263? si\u281? z s\u261?dem I instancji i organem, i\u380? w tej sprawie nie by\u322?o konieczno\u347?ci przeprowadzania dowodu z opinii bieg\u322?ego na okoliczno\u347?\u263? ustalenia, czy istniej\u261? narz\u281?dzia informatyczne (programy komputerowe) pozwalaj\u261?ce na odczytanie rozmazanych danych osobowych zawartych w dokumentach.
\par 
\par Po pierwsze, nale\u380?y mie\u263? na uwadze, i\u380? Prezesa UODO nale\u380?y zaliczy\u263? do grona organ\u243?w administracji specjalnej, co oznacza, i\u380? dysponuje on zasobami kadrowymi wyspecjalizowanymi w zakresie powierzonych mu zada\u324? i kompetencji. Te okoliczno\u347?ci, kt\u243?re dla zwyk\u322?ego obywatela stanowi\u261? zakres wiedzy specjalistycznej, z punktu widzenia organu za\u322?atwiane s\u261? jednak bez konieczno\u347?ci si\u281?gania do pomocy bieg\u322?ych z danej dziedziny, gdy\u380? zatrudnia on urz\u281?dnik\u243?w mog\u261?cych na podstawie w\u322?asnej wiedzy specjalistycznej oceni\u263? je w ramach urz\u281?du. Materialny zakres zastosowania RODO wynikaj\u261?cy z art. 2 ust. 1 wyra\u378?nie wskazuje, \u380?e jego przepisy dotycz\u261? przetwarzania danych osobowych w spos\u243?b zautomatyzowany. Jest zatem oczywistym, i\u380? organ zatrudnia specjalist\u243?w z zakresu informatyki i dziedzin wiedzy z ni\u261? powi\u261?zanych. Kwestia ustalenia tego, czy jest mo\u380?liwe odczytanie niewyra\u378?nych danych zosta\u322?a rozstrzygni\u281?ta wewn\u261?trz urz\u281?du przez fachowc\u243?w z tych dziedzin wiedzy.
\par 
\par Po drugie, przy ocenie dokonywania okre\u347?lonych czynno\u347?ci post\u281?powania wyja\u347?niaj\u261?cego bierze si\u281? zawsze pod uwag\u281? inne okoliczno\u347?ci sprawy. Na gruncie tej sprawy symptomatyczne by\u322?o post\u281?powanie administratora danych osobowych zwi\u261?zane z informowaniem o sankcjach jakie zamierza na\u322?o\u380?y\u263? na osoby, kt\u243?re dysponuj\u261?c \u347?ci\u261?gni\u281?tymi plikami przebiegu egzaminu, b\u281?d\u261? je rozpowszechnia\u263? dalej. Wskazywa\u322? to wyra\u378?nie, i\u380? administrator dokona\u322? oceny ich zawarto\u347?ci i u\u347?wiadomi\u322? sobie, i\u380? dosz\u322?o do ujawnienia danych osobowych bez koniecznej podstawy prawnej, a jego dzia\u322?anie nakierowane by\u322?o na uniemo\u380?liwienie dalszego naruszania prawa do ochrony danych osobowych.
\par 
\par Okoliczno\u347?ci te wskazuj\u261? w ocenie Naczelnego S\u261?du Administracyjnego, i\u380? przebieg post\u281?powania wyja\u347?niaj\u261?cego prowadzonego przez organ odpowiada\u322? paradygmatowi wyznaczonemu przez hipotez\u281? przepisu art. 77 \u167? 1 k.p.a., a w konsekwencji brak by\u322?o potrzeby przeprowadzania dowodu z opinii bieg\u322?ego na okoliczno\u347?ci wskazane w zarzucie 3., co czyni go pozbawionym podstaw.
\par 
\par W zarzucie 8. jako dodatkowo naruszone wskazano art. 83 ust. 3, art. 83 ust. 4 lit. a RODO w zw. z art. 58 ust. 2 lit. i RODO, a tak\u380?e art. 102 ust. 1 pkt 1 i ust. 3 ustawy o ochronie danych osobowych. Konstrukcja tego zarzutu jest nieprawid\u322?owa. Przepisy te generalnie odnosz\u261? si\u281? do kompetencji i warunk\u243?w nak\u322?adania kar administracyjnych przez organ nadzoru. Naruszenie przepis\u243?w prawa ustrojowego nast\u281?puje za\u347? na podstawie z art. 174 pkt 1 p.p.s.a. W zarzucie wskazano, \u380?e prawid\u322?owa, rzetelna i swobodna ocena zebranego w sprawie materia\u322?u dowodowego nie daje podstaw do jednoznacznego stwierdzenia naruszenia art. 33 ust. 1 i art. 34 ust. 4 RODO. W zwi\u261?zku z bezskuteczno\u347?ci\u261? naruszenia przepis\u243?w art. 33 ust. 1 i art. 34 ust.1 RODO organ posiada\u322? kompetencje do na\u322?o\u380?enia kary administracyjnej w zwi\u261?zku ze stwierdzonymi naruszeniami przepis\u243?w RODO. Nie zosta\u322?o tak\u380?e w zarzucie kasacyjnym wskazane na czym mia\u322?by polega\u263? brak prawid\u322?owo\u347?ci, rzetelno\u347?ci i swobody oceny materia\u322?u dowodowego, co w tym zakresie czyni zarzut abstrakcyjnym. Z tych wzgl\u281?d\u243?w zarzut ten nie m\u243?g\u322? okaza\u263? si\u281? skuteczny.
\par 
\par W zarzucie 9. jako dodatkowo naruszone wskazano 83 ust. 3, art. 83 ust. 2 lit. a, b, f RODO. Konstrukcja tego zarzutu jest r\u243?wnie\u380? nieprawid\u322?owa. Dodatkowo zarzut ten zosta\u322? sformu\u322?owany wielopoziomowo, w spos\u243?b kt\u243?ry utrudnia jego merytoryczne rozpoznanie. Wskazane wy\u380?ej przepisy generalnie odnosz\u261? si\u281? do kompetencji i warunk\u243?w nak\u322?adania kar administracyjnych przez organ nadzoru. Naruszenie przepis\u243?w prawa ustrojowego nast\u281?puje, jak ju\u380? podano, na podstawie z art. 174 pkt 1 p.p.s.a. Nie mo\u380?na zasadniczo na b\u322?\u281?dnej podstawie kasacyjnej skutecznie zarzuci\u263? naruszenie okre\u347?lonych przepis\u243?w. Dodatkowo wskaza\u263? nale\u380?y, i\u380? przepisy te zosta\u322?y podniesione celem wzruszenia ustale\u324? faktycznych przyj\u281?tych za podstaw\u281? orzekania przez s\u261?d, a wcze\u347?niej przez organ. W tym miejscu podkre\u347?li\u263? nale\u380?y wyra\u378?nie, \u380?e organ dokonywa\u322? dw\u243?ch rodzaj\u243?w ustale\u324? faktycznych. Pierwszy zwi\u261?zany by\u322? z przebiegiem wydarze\u324? zwi\u261?zanych z ujawnieniem danych osobowych, drugi \u8211? z ustaleniem wysoko\u347?ci i wymierzeniem kary pieni\u281?\u380?nej. Pierwszy stan faktyczny jest zatem stanem faktycznym wynikaj\u261?cym z normy sankcjonowanej, a drugi jest stanem wynikaj\u261?cym z normy sankcjonuj\u261?cej.
\par 
\par Konstrukcja tego zarzutu oparta zosta\u322?a na zakwestionowaniu okoliczno\u347?ci faktycznych sprawy wskazuj\u261?cych na okre\u347?lony (tj. inny) bieg zdarze\u324? zwi\u261?zanych z ujawnieniem bez podstawy prawnej danych osobowych, a nast\u281?pnie zosta\u322?a zakwestionowana ich ocena przez pryzmat przepis\u243?w kompetencyjnych wskazuj\u261?cych materialne warunki uwzgl\u281?dniane przy realizacji kompetencji orzeczniczej dotycz\u261?cej na\u322?o\u380?enia kary administracyjnej (chodzi o przepisy art. 83 RODO). Zarzut oparty zosta\u322? zatem na odmiennym przebiegu zdarzenia, ni\u380? ten przyj\u281?ty przez s\u261?d I instancji, gdy\u380? autorowi nie uda\u322?o si\u281? skutecznie wzruszy\u263? przebiegu zdarzenia. W takiej sytuacji nie spos\u243?b jest przej\u347?\u263? do oceny przes\u322?anek zastosowania administracyjnej kary pieni\u281?\u380?nej. Jest to zreszt\u261? niemo\u380?liwe tak\u380?e w zwi\u261?zku z brakiem wskazania, czy dosz\u322?o do naruszenia wskazanych przepis\u243?w przez b\u322?\u261?d wyk\u322?adni czy b\u322?\u261?d niew\u322?a\u347?ciwego ich zastosowania. W tym zakresie Naczelny S\u261?d Administracyjny nie mo\u380?e opiera\u263? si\u281? na w\u322?asnych domys\u322?ach, ani te\u380? nie mo\u380?e zast\u261?pi\u263? autora skargi kasacyjnej, gdy\u380? naruszy\u322?by w ten spos\u243?b zasad\u281? r\u243?wnego traktowania obu stron w post\u281?powaniu s\u261?dowoadministarcyjnym. W zwi\u261?zku z tym, i\u380? organ nie naruszy\u322? przepis\u243?w, nie spos\u243?b zarzuci\u263? organowi legalnie dzia\u322?aj\u261?cemu naruszenia art. 8 \u167? 1 k.p.a. To wszystko czyni zarzut nieuzasadniony.
\par 
\par Uwagi powy\u380?sze odnie\u347?\u263? nale\u380?y tak\u380?e do zarzutu 10., w ramach kt\u243?rego zarzucono naruszenie przepis\u243?w art. 83 ust. 1 i 2, art. 84 ust. 1 RODO i art. 8 \u167? 1 k.p.a. Naruszenie tych przepis\u243?w jest bezskuteczne, gdy\u380? po pierwsze nie wskazano na czym mia\u322?oby polega\u263? ich naruszenie (co jest a limine wystarczaj\u261?ce dla uznania ich bezskuteczno\u347?ci), po drugie, zarzut ich naruszenia oparto na subiektywnej ocenie, \u380?e ustalony stan faktyczny zwi\u261?zany z przebiegiem zdarzenia dotycz\u261?cego ustalenia fakt\u243?w ujawnienia danych osobowych jest taki, jaki uznaje autor skargi kasacyjnej, co okaza\u322?o si\u281? za\u322?o\u380?eniem bezpodstawnym.
\par 
\par Z tych wzgl\u281?d\u243?w zarzuty oparte o podstaw\u281? z art. 174 pkt 2 p.p.s.a. nie mog\u322?y okaza\u263? si\u281? uzasadnione.
\par 
\par Zarzuty naruszenia prawa materialnego nie zas\u322?uguj\u261? na uwzgl\u281?dnienie.
\par 
\par Zarzuty 1.-3. s\u261? nieuzasadnione. Tre\u347?\u263? przepisu art. 33 ust. 1 RODO wskazuje, i\u380? obowi\u261?zek zg\u322?oszenia naruszenia ochrony danych osobowych aktualizuje si\u281? w chwili stwierdzenia naruszenia przez administratora, a administratorowi wyznaczony zosta\u322? termin 72 godzi od tego momentu na realizacj\u281? obowi\u261?zku zg\u322?oszenia tego faktu organowi nadzorowi. Ocena ryzyka, czy naruszenie ochrony danych mo\u380?e skutkowa\u263? naruszeniem praw i wolno\u347?ci os\u243?b fizycznych mo\u380?liwa jest wy\u322?\u261?cznie w terminie 72 godzin. Ocena ta zastrze\u380?ona jest do uprawnie\u324? administratora, kt\u243?ry w przypadku b\u322?\u281?dnej oceny, obowi\u261?zany b\u281?dzie ponie\u347?\u263? odpowiedzialno\u347?\u263? administracyjn\u261? za niedokonanie zg\u322?oszenia organowi nadzoru. Realizacja takiego obowi\u261?zku wynika z przepisu art. 33 ust. 1 RODO, za\u347? wzgl\u281?dem os\u243?b fizycznych - z art. 34 ust. 1 RODO. Oznacza to, \u380?e tylko sytuacje jednoznaczne, pozwala\u263? b\u281?d\u261? na odst\u261?pienie od dokonania zg\u322?oszenia, o kt\u243?rym mowa w art. 33 ust. 1 RODO i zawiadomienia z art. 34 ust. 1 RODO. Istotne jest przy tym, i\u380? ocena ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych dokonywana jest na gruncie stanu faktycznego regulowanego norm\u261? sankcjonowan\u261?. Stan faktyczny ustalony w tym zakresie nie pozwala\u322? na odst\u261?pienie od realizacji tych obowi\u261?zk\u243?w. Zgodzi\u263? si\u281? nale\u380?y z autorem skargi kasacyjnej, \u380?e ocena ryzyka jest uprawnieniem administratora danych osobowych, lecz wbrew jego pogl\u261?dowi b\u322?\u281?dna ocena ryzyka podlega sankcjonowaniu. Sankcja w postaci pieni\u281?\u380?nej kary administracyjnej nak\u322?adana jest w przypadku naruszenia przepis\u243?w RODO przez ka\u380?dy podmiot obowi\u261?zany do ich przestrzegania, co wynika z \u322?\u261?cznej wyk\u322?adni przepis\u243?w art. 101-102 u.o.d.o. Obowi\u261?zek zg\u322?oszenia na\u322?o\u380?ony jest na administratora w przepisie art. 33 ust. 1 RODO, a zawiadomienia os\u243?b fizycznych \u8211? w art. 34 ust. 1 RODO. Ich niedope\u322?nienie aktualizuje na\u322?o\u380?enie kary pieni\u281?\u380?nej.
\par 
\par Nale\u380?y tak\u380?e wskaza\u263?, i\u380? nie jest uprawnione zastosowanie dyrektyw wyk\u322?adni funkcjonalnej do przepis\u243?w art. 33 ust. 1 i art. 34 ust. 1 RODO, tj. przepis\u243?w okre\u347?laj\u261?cych obowi\u261?zki administrator\u243?w danych osobowych w zakresie, w kt\u243?rym pe\u322?ni\u261? oni rol\u281? gwarant\u243?w prawa lub wolno\u347?ci os\u243?b fizycznych. Zastosowanie dyrektyw funkcji prowadz\u261?ce do ograniczenia zastosowania takich przepis\u243?w prowadzi\u322?oby do ograniczenia ochrony praw i wolno\u347?ci obywatelskich, co mo\u380?e nast\u261?pi\u263? wy\u322?\u261?cznie na podstawie przepis\u243?w ustawy (art. 30 ust. 3 Konstytucji RP) interpretowanej z u\u380?yciem dyrektyw j\u281?zykowych. Czyni to powy\u380?sze zarzuty nieuprawnione.
\par 
\par Naczelny S\u261?d Administracyjny, dzia\u322?aj\u261?c na podstawie art. 184 p.p.s.a., orzek\u322? o oddaleniu skargi kasacyjnej.
\par 
\par Na podstawie art. 204 pkt 1 p.p.s.a orzeczono o kosztach post\u281?powania kasacyjnego.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}