Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodnicząca sędzia NSA Tamara Dziełakowska Sędziowie: sędzia NSA Rafał Stasikowski sędzia del. WSA Hanna Knysiak-Sudyka (spr.) Protokolant asystent sędziego Adam Płusa po rozpoznaniu w dniu 1 października 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 kwietnia 2022 r. sygn. akt II SA/Wa 3024/21 w sprawie ze skargi [...] Towarzystwa [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] czerwca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych 1) uchyla zaskarżony wyrok i przekazuje sprawę do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie; 2) zasądza od [...] Towarzystwa [...] z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 6400 (sześć tysięcy czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 19 kwietnia 2022 r., sygn. akt II SA/Wa 3024/21, po rozpoznaniu sprawy ze skargi [...] Towarzystwa [...] (dalej: "skarżąca" lub "spółka") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO" lub "organ") z dnia [...] czerwca 2021 r., nr [...], w przedmiocie przetwarzania danych osobowych, uchylił zaskarżoną decyzję (pkt 1) oraz zasądził od organu na rzecz strony skarżącej kwotę 7417 złotych tytułem zwrotu kosztów postępowania sądowego (pkt 2).

Wyrok został wydany w następującym stanie faktycznym i prawnym.

Zaskarżoną decyzją Prezes UODO działając na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego (Dz.U. z 2021 poz. 735; dalej "k.p.a."), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781; dalej: "u.o.d.o."), art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w zw. z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. L 127 z 23.05.2018, str. 2 z późn. zm. oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35; dalej: "RODO" lub "rozporządzenie 2016/679"), po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie braku zgłoszenia naruszenia ochrony danych osobowych:

1) stwierdził naruszenie przez [...] Towarzystwo [...] przepisów art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą i nałożył na [...] Towarzystwo [...] administracyjną karę pieniężną w wysokości 159.176 PLN,

2) nakazał [...] Towarzystwu [...] zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 RODO, w terminie 3 dni od dnia jej doręczenia.

Na powyższe orzeczenie spółka wniosła skargę do Wojewódzkiego Sądu Administracyjnego, który wskazanym powyżej wyrokiem na podstawie art. 145 § 1 pkt 1 lit. c ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2023 r. poz. 259 ze zm.; dalej: "p.p.s.a.") uwzględnił skargę uznając, że w niniejszej sprawie organ nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że spółka naruszyła art. 34 ust.1 RODO.

Uzasadniając swoje stanowisko Sąd pierwszej instancji wskazał, że naruszenie ochrony danych osobowych polegało na przesłaniu nieuprawnionemu odbiorcy (byłemu klientowi) wiadomości email z niezaszyfrowanym załącznikiem zawierającym dane osobowe innej osoby fizycznej, niż adresat emaila (imię, nazwisko, PESEL, miejscowość i kod pocztowy oraz ofertę ubezpieczenia (w tym składkę i sumę ubezpieczenia i sumę gwarancyjną). Naruszenie dotyczyło tylko jednej osoby. Jej dane osobowe zostały udostępnione również tylko jednej osobie. Mimo, iż dane udostępniono byłemu klientowi, nie można tej osoby uznać za pozostającą z administratorem w stałych stosunkach, zaufaną w tym sensie, że pozwalałoby to przyjąć, że rzeczywiście nie uczyni użytku z danych omyłkowo jej przesłanych. Istotnym czynnikiem przy ocenie prawdopodobieństwa ryzyka naruszenia praw lub wolności osoby, której dane zostały ujawnione, jest również łatwość, z jaką strona, która ma dostęp do ujawnionych danych osobowych, będzie w stanie zidentyfikować konkretne osoby fizyczne lub dopasować dane do innych informacji służących identyfikacji osób fizycznych (Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, s. 29). W rozpatrywanym przypadku dane były zawarte w niezaszyfrowanym załączniku. Natomiast charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione, utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych (art. 51 ust. 1 Konstytucji RP). Te okoliczności pozwalały - zdaniem Sądu pierwszej instancji - przyjąć, że nie została spełniona określona w art. 33 ust. 1 RODO przesłanka zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Należy zatem podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe. Spółka miała zatem obowiązek zgłoszenia tego naruszenia organowi nadzoru.

Zdaniem WSA organ zarzucając skarżącej naruszenie art. 34 ust. 1 RODO i wymierzając jej w związku z tym karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie wykazano przekonująco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko, numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem Internetu lub telefonicznie. Nie potwierdzono też konkretnymi dowodami stwierdzenia organu, że dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwala np. na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem. Nie uzasadniono również dostatecznie, że na skutek nieuprawnionego ujawnienia danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy, doszło do ujawnienia nie tylko numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą, ale również informacji o stanie finansowym (majątkowym) podmiotu danych.

Wojewódzki Sąd Administracyjny w Warszawie zwrócił uwagę, że uzasadnienie rozstrzygnięcia mającego charakter decyzji administracyjnej stanowi istotną gwarancję realizacji podstawowych zasad postępowania administracyjnego: zasady zaufania (art. 8 § 1 i 2 k.p.a.) i zasady przekonywania (art. 11 k.p.a.) oraz konstytucyjnej zasady prawa do sądu (art. 45 ust. 1 i 78 Konstytucji RP). Obowiązek sporządzenia uzasadnienia decyzji odpowiadającego wymogom określonym w art. 107 § 3 k.p.a. stanowi realizację tych zasad. Prawidłowo sporządzone uzasadnienie daje również możliwość pełnej i merytorycznej weryfikacji decyzji w postępowaniu sądowym.

Od powyższego orzeczenia Prezes UODO wywiódł skargę kasacyjną do Naczelnego Sądu Administracyjnego, zaskarżając wyrok w całości i zarzucając mu:

1. naruszenie przepisów prawa materialnego przez błędną ich wykładnię, tj.: art. 34 ust. 1 RODO w zw. z art. 33 ust. 1 RODO, poprzez jego błędną wykładnię i przyjęcie, że "ocena stopnia ryzyka (wysokiego) naruszenia praw lub wolności osoby, której dane zostały udostępnione niezgodnie z prawem, wymaga odwołania się do okoliczności i przesłanek, które stanowiły podstawę oceny stopnia prawdopodobieństwa ryzyka naruszenia praw lub wolności, na podstawie art. 34 ust. 1 RODO, podczas gdy ocenę wystąpienia obowiązku zawiadomienia o naruszeniu ochrony danych osobowych zgodnie z art. 34 ust. 1 RODO należy odnieść nie tylko do prawdopodobieństwa, ale również do wagi potencjalnego wpływu na prawa i wolności osoby fizycznej, a w konsekwencji nieprawidłowe uznanie, że możliwość materializacji wskazanych w przykładach skutków naruszenia nie zostały dostatecznie wyjaśnione, bowiem w sytuacji w której prawdopodobieństwo ryzyka nie budziło wątpliwości, nie wymagały wyjaśnienia;

2. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.: art. 145 § 1 pkt 1 lit. c) w zw. z art. 107 § 3 k.p.a. poprzez uznanie, że organ nie wyjaśnił dostatecznie i przekonywująco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co w kontekście m.in. zasady zaufania wyrażonej w art. 8 § 1 i 2 k.p.a. oraz zasady przekonywania art. 11 k.p.a., nie odpowiada wymaganiom art. 107 § 3 k.p.a. i to uchybienie mogło mieć istotny wpływ na wynik sprawy, podczas gdy Prezes UODO szczegółowo, jasno i zrozumiale wyjaśnił w uzasadnieniu decyzji poddane przez Sąd w wątpliwości okoliczności, dodatkowo mając na uwadze ww. zasady dokonał tego w sposób, w jaki oczekiwała tego skarżąca, przy czym wyjaśnienia Prezesa UODO zawarte w uzasadnieniu decyzji, a korespondujące z okolicznościami, które w ocenie sądu nie zostały dostatecznie wyjaśnione, zostały przez Sąd pominięte.

Wobec powyższych zarzutów kasator wniósł o uchylenie w całości zaskarżonego wyroku i rozpoznanie skargi, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, a także o rozpoznanie skargi kasacyjnej na rozprawie. Ponadto wniósł o zasądzenie zwrotu kosztów postępowania sądowego na rzecz organu według norm prawem przepisanych.

W uzasadnieniu skargi kasacyjnej kasator przedstawił argumentację, mającą na celu wykazanie zasadności podniesionych zarzutów.

W odpowiedzi na skargę kasacyjną skarżący wniósł o jej oddalenie w całości jako bezzasadnej oraz zasądzenie na jego rzecz od organu zwrotu kosztów postępowania sądowego, w tym kosztów zastępstwa procesowego według norm przepisanych. Zawnioskował również o rozpoznanie sprawy na rozprawie.

Naczelny Sąd Administracyjny zważył, co następuje:

Skarga kasacyjna zasługuje na uwzględnienie.

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j.: Dz.U. z 2024 r. poz. 935; dalej: "p.p.s.a."), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę przesłanki uzasadniające nieważność postępowania wymienione w art. 183 § 2 p.p.s.a. Granice skargi kasacyjnej są wyznaczone przez zakres zaskarżenia orzeczenia sądu pierwszej instancji oraz podniesione i poddane konkretyzacji podstawy kasacyjne.

Zgodnie z treścią art. 174 p.p.s.a., skargę kasacyjną można oprzeć na następujących podstawach:

1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie;

2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Powyższe ustawowe podstawy kasacyjne wymagają od skarżącego kasacyjnie konkretyzacji poprzez sformułowanie tzw. zarzutów kasacyjnych. Oznacza to, że jeżeli - tak jak w rozpoznawanej sprawie - nie zachodzi nieważność postępowania, zakres postępowania kasacyjnego wyznacza strona wnosząca skargę kasacyjną przez przytoczenie podstaw kasacyjnych i ich uzasadnienie.

Jak wskazano, Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, biorąc z urzędu pod uwagę jedynie nieważność postępowania. Ze wskazanych przepisów wynika, że wywołane skargą kasacyjną postępowanie przed Naczelnym Sądem Administracyjnym podlega zasadzie dyspozycyjności i nie polega na ponownym rozpoznaniu sprawy w jej całokształcie, lecz ogranicza się do rozpatrzenia poszczególnych zarzutów przedstawionych w skardze kasacyjnej w ramach wskazanych podstaw kasacyjnych. Istotą tego postępowania jest bowiem weryfikacja zgodności z prawem orzeczenia wojewódzkiego sądu administracyjnego oraz postępowania, które doprowadziło do jego wydania.

W skardze kasacyjnej zarzucono zarówno naruszenie prawa materialnego, jak i naruszenie przepisów postępowania.

W sytuacji, gdy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania (por. wyrok NSA z dnia 27 czerwca 2012 r., II GSK 819/11, LEX nr 1217424; wyrok NSA z dnia 26 marca 2010 r., II FSK 1842/08, LEX nr 596025; wyrok NSA z dnia 4 czerwca 2014 r., II GSK 402/13, LEX nr 1488113; wyrok NSA z dnia 17 lutego 2023 r., II GSK 1458/19; wyrok NSA z dnia 1 marca 2023 r., I FSK 375/20).

Wskazać należy, że dla uznania za usprawiedliwioną podstawę kasacyjną z art. 174 pkt 2 p.p.s.a. nie wystarcza samo wskazanie naruszenia przepisów postępowania, ale nadto wymagane jest, aby skarżący kasacyjnie wykazał, że następstwa stwierdzonych wadliwości postępowania były tego rodzaju lub skali, iż kształtowały one lub współkształtowały treść kwestionowanego w sprawie orzeczenia (tak: wyrok NSA z dnia 4 lipca 2024 r., III OSK 2469/22, Legalis). O skuteczności zarzutów naruszenia przepisów postępowania nie decyduje każde uchybienie przepisów postępowania, lecz tylko i wyłącznie takie, które mogło mieć istotny wpływ na wynik sprawy. Przez "wpływ", o którym mowa w art. 174 pkt 2 p.p.s.a., rozumieć należy istnienie związku przyczynowego pomiędzy uchybieniem procesowym stanowiącym przedmiot zarzutu skargi kasacyjnej, a wydanym w sprawie zaskarżonym orzeczeniem sądu administracyjnego pierwszej instancji, który to związek przyczynowy, jakkolwiek nie musi być realny, to jednak musi uzasadniać istnienie hipotetycznej możliwości odmiennego wyniku sprawy. W konsekwencji, dla spełnienia wymogu z art. 174 pkt 2 p.p.s.a. nie wystarczy przytoczenie w petitum skargi kasacyjnej formuły o naruszeniu przepisów postępowania w stopniu mającym wpływ na wynik sprawy, lecz konieczne jest wykazanie, który przepis postępowania został naruszony, w jaki sposób oraz wykazanie wpływu zarzucanego naruszenia na wynik sprawy. Trzeba zatem wskazać indywidualne uzasadnienie dla każdego zarzutu formułowanego wobec każdego z tych przepisów, który w ocenie skarżącego kasacyjnie naruszył Sąd pierwszej instancji. Ponadto w treści samego zarzutu - niezależnie od obowiązku wyjaśnienia zajętego stanowiska w uzasadnieniu skargi kasacyjnej - konieczne jest wskazanie, na czym polegało naruszenie konkretnego przepisu, oraz przedstawienie prawidłowej - w ocenie autora skargi kasacyjnej - wersji wykładni lub zastosowania danego przepisu, a także określenie wpływu zarzucanego naruszenia na treść rozstrzygnięcia (patrz: wyrok Naczelnego Sądu Administracyjnego z dnia 12 lipca 2024 r., II GSK 666/24, Legalis).

Przechodząc do oceny zasadności zarzutów skargi kasacyjnej należy w pierwszej kolejności zauważyć, że podniesione w ramach obu podstaw kasacyjnych zarzuty są ze sobą powiązane.

Zarzut naruszenia art. 145 § 1 pkt 1 lit. c (bez wskazania ustawy) w związku z art. 107 § 3 k.p.a. jest niestarannie skonstruowany, bowiem skarżący kasacyjnie nie wskazał, w jakiej ustawie znajduje się przepis art. 145 § 1 pkt 1 lit. c, choć oczywistym jest, że nie chodzi o ustawę Kodeks postępowania administracyjnego, gdyż ta ustawa nie zawiera przepisu takiej jednostki redakcyjnej. Mimo zatem niestaranności konstrukcji omawianego zarzutu należy uznać, że chodzi o art. 145 § 1 pkt 1 lit. c p.p.s.a., gdyż ten przepis stanowił podstawę prawną rozstrzygnięcia Sądu pierwszej instancji.

Przepis art. 107 § 3 k.p.a. stanowi, że uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne - wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Do naruszenia art. 107 § 3 k.p.a. dochodzi wtedy, gdy uzasadnienie decyzji nie zawiera wszystkich elementów, wymienionych w tym przepisie albo gdy mimo formalnej poprawności jego treść - ze względu np. na ogólnikowość stwierdzeń i argumentów - nie pozwala na skontrolowanie poprawności rozstrzygnięcia sprawy, a tym samym czyni w stopniu istotnym wątpliwym poprawność przeprowadzenia postępowania wyjaśniającego w sprawie. Aby naruszenie przepisów postępowania, w tym art. 107 § 3 k.p.a. mogło stanowić podstawę uchylenia decyzji, koniecznym jest wykazanie, że uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Zdaniem Naczelnego Sądu Administracyjnego Sąd pierwszej instancji dokonał błędnej oceny poprawności uzasadnienia zaskarżonej decyzji i błędnie doszedł do wniosku, że uzasadnienie to nie odpowiada wymaganiom art. 107 § 3 k.p.a., a uchybienie to mogło mieć wpływ na wynik sprawy. W uzasadnieniu zaskarżonej decyzji został w sposób szczegółowy przedstawiony stan faktyczny sprawy, który zresztą nie był kwestionowany. W istocie kwestią sporną było to, czy naruszenie poufności danych, jakie niewątpliwie miało miejsce w niniejszej sprawie, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Fakt, iż Sąd pierwszej instancji nie podzielił stanowiska prezentowanego w tej kwestii przez organ w uzasadnieniu zaskarżonej decyzji, nie stanowi o naruszeniu art. 107 § 3 k.p.a. Organ szczegółowo nakreślił (s. 17-22 decyzji), jakie zostały popełnione przez stronę skarżącą błędy w przeprowadzonej analizie ryzyka, która miała decydujące znaczenie dla przesądzenia nakreślonej wyżej kwestii spornej. Organ odniósł się także w sposób szczegółowy do twierdzeń administratora dotyczących czynników mających wpływ na poziom ryzyka, a w konsekwencji na powstanie obowiązku zawiadomienia o naruszeniu osoby, której dane dotyczą, analizując zarówno okoliczności podwyższające, jak i obniżające ryzyko. W uzasadnieniu decyzji organ szczegółowo wyjaśnił, dlaczego uznał, że został naruszony art. 34 ust. 1 rozporządzenia 2016/679. W szczególności na ss. 16-17 zaskarżonej decyzji organ odniósł się do zakresu danych oraz wyjaśnił istotę wrażliwości numeru PESEL.

Uzasadnienie zaskarżonej decyzji odpowiada zatem wymaganiom art. 107 § 3 k.p.a., natomiast kwestia odmiennej oceny przesłanki materialnoprawnej stanowiącej determinantę faktyczną decyzji w niniejszej sprawie nie może stanowić podstawy negatywnej oceny poprawności uzasadnienia decyzji pod kątem spełnienia wymagań stawianych w art. 107 § 3 k.p.a.

Zasadny jest także zarzut naruszenia prawa materialnego, to jest art. 34 ust. 1 w związku z art. 33 ust. 1 rozporządzenia 2016/679. Zgodnie z art. 34 ust. 1 rozporządzenia jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Z kolei art. 33 ust. 1 rozporządzenia stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.

Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych. Trzeba też pamiętać, że dla braku konieczności zgłoszenia naruszenia do organu nadzorczego niezbędne jest wystąpienie małego prawdopodobieństwa, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności. Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia. W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych. W ocenie Naczelnego Sądu Administracyjnego nie może być wątpliwości że zdarzenie, które miało miejsce w niniejszej sprawie może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, przez sam fakt, iż dotyczy danych osobowych w postaci PESEL w powiązaniu z imieniem i nazwiskiem oraz innymi danymi osobowymi. Nawet pomijając inne dane osobowe, ryzyko naruszenia praw osoby fizycznej – wbrew twierdzeniu Sądu pierwszej instancji – jest wysokie. Faktem notoryjnym jest bowiem, że ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń związanych z podaniem numeru PESEL jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany w szczególności do zaciągnięcia kredytu lub pożyczki na cudze dane, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę fizyczną w sprawach dotyczących życia codziennego. Nie sposób zatem podzielić stanowiska Sądu pierwszej instancji, iż "organ zarzucając naruszenie art. 34 ust. 1 rozporządzenia i wymierzając w związku z tym karę pieniężną nie wyjaśnił dostatecznie i przekonywająco przesłanek uznania, że naruszenie ochrony danych osobowych przez skarżącą mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych" (s. 32 uzasadnienia zaskarżonego wyroku), tym bardziej, że na s. 31 uzasadnienia zaskarżonego wyroku Sąd pierwszej instancji wskazał, że "charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby bezpośrednio w oparciu o dane osobowe, których dotyczy naruszenie, bez szczególnej potrzeby gromadzenia dodatkowych informacji pozwalających określić tę tożsamość. W tych okolicznościach osoba, której dane zostały udostępnione utraciła możliwość sprawowania kontroli nad swoimi danymi osobowymi i tym samym doznała naruszenia jej prawa do ochrony danych osobowych", co pozwalało – zdaniem Sądu pierwszej instancji - na przyjęcie, że nie została spełniona przesłanka określona w art. 33 ust. 1 RODO zwalniająca administratora danych z obowiązku zgłoszenia organowi nadzoru faktu naruszenia danych osobowych. Sąd pierwszej instancji wskazał w tym miejscu, co trafnie podniósł skarżący kasacyjnie – że "należy podzielić stanowisko Prezesa UODO co do tego, że prawdopodobieństwo, by stwierdzone naruszenie ochrony danych osobowych rodziło ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie jest małe", co powodowało powstanie obowiązku zgłoszenia naruszenia organowi nadzoru.

Rację ma skarżący kasacyjnie, iż Sąd pierwszej instancji błędnie zinterpretował treść art. 34 ust. 1 RODO, gdyż ustalił, że prawdopodobieństwo ryzyka naruszenia nie jest małe, a jednocześnie zarzucił organowi niedostateczne wyjaśnienie możliwości materializacji negatywnych skutków naruszenia.

Ustalenie, że prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej nie jest małe w połączeniu ze wskazaną wyżej wysoką wagą potencjalnego wpływu naruszenia na prawa lub wolności osoby fizycznej przesądza o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności tej osoby, co nakłada na administratora obowiązek zawiadomienia osoby, której dane dotyczą, o tymże naruszeniu.

Wskazane wyżej wadliwości orzeczenia Sądu pierwszej instancji powodują, że musi ono zostać uchylone. Ponownie rozpoznając sprawę Wojewódzki Sąd Administracyjny przyjmie przedstawioną wyżej wykładnię przepisów prawa materialnego i w oparciu o nią dokona oceny zarzutów skargi i rozpozna sprawę sądowoadministracyjną.

Mając na uwadze powyższe Naczelny Sąd Administracyjny orzekł na podstawie art. 185 § 1 p.p.s.a., to jest uchylił zaskarżony wyrok i przekazał sprawę do ponownego rozpoznania sądowi pierwszej instancji.

O kosztach postępowania kasacyjnego orzeczono zgodnie z zasadą rezultatu, na podstawie art. 203 pkt 2 p.p.s.a. w związku z art. 205 § 2 p.p.s.a.