Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Zbigniew Ślusarczyk Sędziowie: Sędzia NSA Rafał Stasikowski Sędzia del. WSA Paweł Mierzejewski (spr.) Protokolant: Starszy asystent sędziego Agnieszka Kozik po rozpoznaniu w dniu 18 czerwca 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Urzędu Ochrony Danych Osobowych od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 października 2021 r. sygn. akt II SA/Wa 528/21 w sprawie ze skargi [...] Sp. z o.o. [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. odstępuje od zasądzenia od Prezesa Urzędu Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] z siedzibą w [...] zwrotu kosztów postępowania kasacyjnego w całości.

Zaskarżonym wyrokiem z dnia 5 października 2021 r., sygn. akt II SA/Wa 528/21 Wojewódzki Sąd Administracyjny w Warszawie po rozpoznaniu sprawy ze skargi [...] Sp. z o.o. [...] z siedzibą w [...] (dalej: "spółka" albo "skarżąca") na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: "organ" albo "Prezes UODO") z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych:

1. uchylił pkt 1 zaskarżonej decyzji,

2. zasądził od Prezesa UODO na rzecz skarżącej kwotę [...] zł tytułem zwrotu kosztów postępowania.

Wyrok został wydany w następującym stanie faktycznym i prawnym sprawy:

W dniu [...] marca 2020 r. [...] Sp. z o.o. [...] zgłosiła Prezesowi UODO naruszenie poufności danych swoich klientów. Spółka, której przedmiotem działalności jest [...], podała, że w dniu [...] marca 2020 r. miała miejsce awaria serwera i wraz z jego restartem zostały zresetowane ustawienia oprogramowania odpowiadającego za bezpieczeństwo serwera (zapory firewall), w konsekwencji czego dane osobowe [...] osób znajdujące się na serwerze były publicznie dostępne. Baza danych znajdująca się na tym serwerze została pobrana (skopiowana) przez nieustalony podmiot trzeci, który wystąpił do spółki z żądaniem zapłaty wynagrodzenia w zamian za jej zwrot. Spółka wyjaśniła, że baza danych nie była główną bazą klientów (potencjalnych klientów) spółki, obejmowała dane statystyczne, z tego powodu nie została objęta skanowaniem pod kątem zabezpieczeń po zresetowaniu serwera. Spółka wyjaśniła, że restartu serwera dokonała [...] z siedzibą w [...], której na podstawie umowy z dnia [...] marca 2018 r. powierzyła przetwarzanie danych w celu realizacji usług mających charakter [...].

Decyzją z dnia [...] grudnia 2020 r. nr [...] wydaną na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) dalej "k.p.a.", art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o." oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. i, art. 83 ust. 1-3, art. 83 ust. 4 lit. a oraz art. 83 ust. 5 lit. a w związku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, art. 28 ust. 3 lit. h, 32 ust. 1 lit. b i lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016, str. 1, ze zm., ogólne rozporządzenie o ochronie danych), dalej: "RODO", Prezes UODO:

1. stwierdził naruszenie przez spółkę przepisów art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO, polegające na niewdrożeniu przez spółkę, zarówno w fazie projektowania procesu przetwarzania, jak i w czasie samego przetwarzania, odpowiednich środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemu przetwarzania danych osobowych, a także zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniających regularną ocenę skuteczności tych środków, co skutkowało uzyskaniem przez osoby trzecie nieuprawnionego dostępu do przetwarzanych danych osobowych oraz nałożył na spółkę administracyjną karę pieniężną w wysokości [...] zł;

2. w pozostałym zakresie postępowanie umorzył.

W uzasadnieniu wydanej decyzji organ podniósł, że po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych, administrator może przeprowadzić krótkotrwałe postępowanie, aby ustalić, czy faktycznie doszło do danego naruszenia, przy czym należy oczekiwać, że wstępne postępowanie powinno rozpocząć się możliwie jak najszybciej i doprowadzić do jak najszybszego ustalenia z wystarczającą dozą pewności, czy w danym przypadku faktycznie doszło do wystąpienia naruszenia. W przypadku jakichkolwiek wątpliwości, mając w szczególności na względzie charakter i zakres przetwarzanych danych oraz ryzyko wiążące się z ich, np. przypadkowym udostępnieniem, administrator powinien zgłosić naruszenie organowi nadzorczemu, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Organ wskazał, że w dniu [...] marca 2020 r. spółka otrzymała pierwszą informację (wiadomość e-mail) o istnieniu serwera z publicznie dostępnymi danymi klientów spółki korzystających z witryny internetowej [...]. W wiadomości przedstawiony został fragment informacji zawierający dane osobowe użytkownika witryny [...], m.in. numer PESEL, adres e-mail i identyfikator użytkownika (nie podano natomiast adresu IP serwera, którego nieprawidłowa konfiguracja doprowadziła do naruszenia ochrony danych osobowych).

Zdaniem organu ta informacja powinna stanowić dla administratora danych impuls do próby uzyskania dodatkowych informacji od nadawcy z zachowaniem należytej ostrożności oraz być przyczyną do podjęcia bardziej zintensyfikowanych działań we współpracy z podmiotem przetwarzającym. Spółka powinna uzmysłowić sobie skalę potencjalnego naruszenia (obejmującego wszystkich klientów) i negatywnych dla nich konsekwencji, do jakich może dojść lub już doszło, zwłaszcza że podane informacje (dane osobowe) rzeczywiście dotyczyły jego klienta i ich ujawnienie bez wątpienia może skutkować wysokim ryzykiem naruszenia praw lub wolności osoby, której dotyczą.

Prezes UODO argumentował, że o ile słusznie spółka niezwłocznie przekazała wiadomość podmiotowi przetwarzającemu i oparła swoje przekonanie o konieczności zawiadomienia organu nadzorczego dopiero po potwierdzeniu jej wiarygodności, o tyle ze zgromadzonego materiału dowodowego nie wynika, by administrator podejmował inne działania zmierzające do szybkiego i skutecznego stwierdzenia naruszenia. Dyrektor ds. [...] – administratora danych osobowych, w dniu [...] marca 2020 r. po otrzymaniu wiadomości z dnia [...] marca 2020 r. przekierował ją do dyrektora [...] z krótkim komentarzem poddającym w wątpliwość intencje nadawcy i wskazujące na tzw. "[...]" i w dniu [...] marca 2020 r. zwrócił się do niego z pytaniem, czy przekazana wiadomość została zweryfikowana (tego samego dnia [...] dokonała restartu serwera, jednak jego konfiguracja nadal była nieprawidłowa). Zdaniem organu jeśli informacji tej nie można szybko i skutecznie zweryfikować, mając na względzie ryzyko dla praw i wolności osób fizycznych, spółka powinna bez zbędnej zwłoki zgłosić naruszenie organowi nadzorczemu. Tymczasem dopiero po przekazaniu [...] marca 2020 r. wiadomości z dnia [...] marca 2020 r. dyrektorowi [...], w którym to wskazano na obowiązki prawne ciążące na spółce odnośnie terminu zawiadomienia organu nadzorczego, zarówno spółka, jak i podmiot przetwarzający podjęły zintensyfikowane działania weryfikacyjne i zaradcze i w dniu [...] marca 2020 r., zespół [...] podmiotu przetwarzającego ustalił przyczyny awarii serwera oraz zweryfikował wiadomość e-mail z [...] marca 2020 r., a inspektor ochrony danych spółki rozpoczął gromadzenie informacji o naruszeniu. Zwłoka, której dopuściła się spółka jako administrator danych, między [...] marca 2020 r., a [...] marca 2020 r., kiedy otrzymała kolejny sygnał o naruszeniu ([...] poinformował ją, że doszło do naruszenia ochrony danych osobowych oraz o adresie IP serwera, którego naruszenie dotyczy), skutkowała pobraniem (w dniu [...] marca 2020 r.) przez nieznaną osobę bazy danych spółki.

Zdaniem organu fakt, że dotychczas tak poważne zdarzenia nie miały miejsca nie może usypiać czujności administratora i usprawiedliwiać braku odpowiednich działań z jego strony między [...] marca 2020 r. a [...] marca 2020 r. Brak szybkiej reakcji ze strony podmiotu przetwarzającego nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych, gdyż zdolność do wykrywania naruszeń, zaradzania im oraz ich terminowego zgłaszania powinna być postrzegana jako kluczowy element środków technicznych i organizacyjnych, w tym każdej polityki w zakresie bezpieczeństwa danych.

Organ podkreślił, że okoliczności sprawy jednoznacznie wskazują na to, że administrator pobieżnie przeanalizował wiadomość z dnia [...] marca 2020 r., nie potraktował jej z należytą powagą i nie zobligował podmiotu przetwarzającego do tego samego. Podjęcie właściwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzającym już w dniu [...] marca 2020 r., w którym to spółka dowiedziała się o pierwszych nieprawidłowościach, w ocenie organu, pozwoliłyby stwierdzić naruszenie ochrony danych znacznie szybciej i potencjalnie zminimalizować ryzyko dla praw i wolności klientów spółki, w tym uniknąć zdarzenia, do którego doszło [...] marca 2020 r.

Mając powyższe na uwadze, organ stwierdził, że spółka, dokonując oceny pierwszego sygnału o nieprawidłowościach, nie uwzględniła ryzyka wiążącego się z przetwarzaniem danych osobowych wynikających z przypadkowego udostępnienia danych osobowych, co stanowi naruszenie art. 32 ust. 2 RODO.

Zdaniem organu zebrany materiał dowodowy stanowi również podstawę do stwierdzenia, że spółka nie wywiązała się z obowiązku zapewnienia przetwarzania danych osobowych w sposób zapewniający ich odpowiednie bezpieczeństwo od momentu, w którym uzyskała pierwszy sygnał o nieprawidłowościach, co stanowi naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f RODO. Nie wdrożyła również odpowiednich środków technicznych i organizacyjnych mających na celu skuteczną realizację zasady ochrony danych, co stanowi naruszenie art. 25 ust. 1 RODO oraz skuteczne i szybkie stwierdzenie naruszenia, co stanowi naruszenie art. 24 ust. 1 RODO. Według organu, spółka nie dokonywała regularnej oceny skuteczności tych środków, co stanowi naruszenie art. 32 ust. 1 lit. d RODO. Tym samym między [...] a [...] marca 2020 r. swoim działaniem przyczyniła się do niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. b RODO.

Organ wyjaśnił, że relacja z podmiotem przetwarzającym nie oznacza obowiązku ciągłego monitorowania stosowanych rozwiązań. Jednakże, zdaniem Prezesa UODO, istotnym jest by administrator w ramach realizacji obowiązków wynikających z RODO dokonywał cyklicznej weryfikacji, czy w używanych rozwiązaniach technicznych i organizacyjnych nie stwierdzono słabości mogących wpłynąć na ryzyko naruszenia praw lub wolności osób, których dane dotyczą, a fakt przetwarzania danych przez podmiot przetwarzający tej odpowiedzialności z administratora nie zdejmuje. Zdaniem organu stanowi o naruszeniu przez spółkę art. 25 ust. 1 RODO. Nieuwzględnienie przez spółkę ryzyka związanego z przetwarzaniem haseł użytkowników w postaci jawnej stanowi również o naruszeniu art. 24 ust. 1, art, 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.

Z tych wszystkich względów Prezes UODO stwierdził, że spółka dopuściła się naruszenia art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.

Prezes UODO stwierdził także, że nie dopatrzył się naruszenia przez spółkę art. 33 ust. 1 i art. 34 ust. 1 RODO, które obligują administratora do zawiadomienia organu nadzorczego (bez zbędnej zwłoki) o naruszeniu ochrony danych osobowych, które skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1) oraz osoby, której dane dotyczą, o takim naruszeniu (art. 34 ust. 1). Organ podał, że na gruncie tych przepisów należy przyjąć, że początkiem terminu na zawiadomienie organu nadzorczego (art. 33 ust. 1) i osób, których dane dotyczą (art. 34 ust. 1) jest dzień, w którym stwierdzono naruszenie ochrony danych osobowych. Spółka z opóźnieniem stwierdziła naruszenie w dniu [...] marca 2020 r., co nie zdejmuje z niej odpowiedzialności za ryzyko naruszenia praw lub wolności osób, których dane dotyczą, powstałe w wyniku opóźnienia stwierdzenia naruszenia. Jednakże od razu po spóźnionym stwierdzeniu spółka z pomocą podmiotu przetwarzającego, rozpoczęła proces resetowania haseł użytkowników i podjęła wszelkie niezbędne działania mające na celu sprawne i terminowe zawiadomienie osób, których dane dotyczą, w tym wykorzystała dostępne kanały informacyjne i w sposób wyczerpujący wykazała skuteczność dostarczenia zawiadomień. Z tych powodów organ umorzył postępowanie administracyjne w zakresie naruszenia art. 34 ust. 1 RODO, co tym samym nie stanowi podstawy wymiaru administracyjnej kary pieniężnej.

Organ podniósł, że spółce należy postawić zarzuty niedopełnienia obowiązków wynikających z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO. Nie sposób jednak zgodzić się ze stanowiskiem spółki, że jej ewentualna odpowiedzialność jako administratora, powinna być rozpatrywana jedynie w kontekście art. 28 ust. 1 RODO i wynikać z odpowiedzi na pytanie, czy gwarancje udzielone administratorowi przez podmiot przetwarzający były wystarczające, aby uzasadnić skorzystanie z jego usług. Oceny tej rzecz jasna, jak wskazuje również spółka, nie można dokonać jedynie z perspektywy samego incydentu, ale z perspektywy możliwości przewidzenia jego wystąpienia oraz możliwości rozsądnego stwierdzenia jeszcze przed wystąpieniem incydentu, że gwarancje nie są wystarczające i należy skorzystać z usług innych ekspertów [...]. Słusznie również spółka wskazuje, że art. 28 ust. 1 RODO wymaga korzystania z podmiotów przetwarzających, zapewniających odpowiednie gwarancje zgodności, nie zaś ciągłego monitorowania stosowanych przez ten podmiot rozwiązań. Prezes UODO stwierdził, że z punktu widzenia art. 28 ust. 1 i art. 28 ust. 3 lit. h RODO w zgromadzonym materiale dowodowym nie dopatrzył się okoliczności, które pozwoliłyby stwierdzić, że [...] [...] nie zapewniał wystarczających gwarancji dla bezpieczeństwa danych osobowych oraz nie udostępniał administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO bądź uniemożliwiał spółce przeprowadzanie audytów, w tym inspekcji. W konsekwencji organ umorzył postępowanie administracyjne w zakresie naruszenia art. 28 ust. 1 i art. 28 ust. 3 lit. h RODO.

W dalszej kolejności Prezes UODO stwierdził, że w sprawie zaistniały przesłanki uzasadniające nałożenie na spółkę administracyjnej kary pieniężnej. Nałożenie administracyjnej kary pieniężnej na spółkę jest konieczne i uzasadnione wagą oraz charakterem i zakresem dokonanych przez spółkę naruszeń. Organ wyjaśnił, że stosownie do art. 83 ust. 2 lit. a-k RODO wziął pod uwagę wymienione tam przesłanki mające wpływ na wymiar nałożonej kary finansowej, m. in. charakter i wagę naruszenia przy uwzględnieniu liczby poszkodowanych osób. Podkreślił, że spółka nie podejmowała odpowiednich działań mających na celu sprawne i szybkie stwierdzenie naruszenia.

Stosownie do treści art. 83 ust. 3 RODO Prezes UODO określił całkowitą wysokość administracyjnej kary pieniężnej w kwocie nieprzekraczającej wysokości kary za najpoważniejsze naruszenie i na podstawie art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a w zw. z art. 83 ust. 3 RODO oraz w zw. z art. 103 u.o.d.o. za naruszenia opisane w sentencji niniejszej decyzji nałożył na spółkę - stosując średni kurs euro z [...] stycznia 2020 r. (1 EUR = [...] PLN) - administracyjną karę pieniężną w kwocie [...] PLN (co stanowi równowartość [...] EUR).

W ocenie organu zastosowana administracyjna kara pieniężna spełnia w okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tj. kara będzie w tym indywidualnym przypadku skuteczna, odstraszająca i proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą. W przyszłości zapobiegnie naruszeniom przepisów o ochronie danych osobowych zarówno przez spółkę, jak i innych administratorów danych osobowych.

Spółka złożyła do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję Prezesa UODO z dnia [...] grudnia 2020 r. w zakresie pkt 1.

Zaskarżonej decyzji spółka zarzuciła:

1.naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 32 RODO, polegające na zastosowaniu przez organ błędnej wykładni ww. przepisu i przyjęciu, że jego adresatem może być jedynie administrator danych osobowych, podczas gdy prawidłowa wykładnia art. 32 RODO prowadzi do wniosku, że przepis ten jest adresowany zarówno do administratora, jak i podmiotu przetwarzającego dane osobowe;

2.naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. zw. z art. 7 u.o.d.o., polegające na pobieżnym, nie zaś wyczerpującym i całościowym rozpatrzeniu materiału dowodowego i pominięciu dowodu w postaci umowy powierzenia przetwarzania danych osobowych ze spółką [...] oraz [...], a także wyniku audytu podmiotu przetwarzającego, tj. [...] z 2018 r. oraz [...] maja 2020 r., co skutkowało błędnym przyjęciem, że skarżąca naruszyła art. 5 ust.1 lit. f, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 RODO;

3.naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. w zw. z art. 7 u.o.d.o., polegające na przekroczeniu granicy swobodnej oceny dowodów poprzez błędne uznanie, że przyjęta przez skarżącą "Procedura zgłaszania naruszenia ochrony danych osobowych" nie stanowi odpowiedniego środka organizacyjnego, zapewniającego bezpieczeństwo przetwarzanych danych osobowych, co w konsekwencji doprowadziło do błędnego przyjęcia przez organ, że od [...] maja 2018 r. skarżąca nie wdrożyła odpowiednich środków organizacyjnych i technicznych zapewniających bezpieczeństwo przetwarzanych danych osobowych;

4.naruszenie przepisów postępowania, mające istotny wpływ na wynik, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. w zw. z art. 7 u.o.d.o., polegające na przekroczeniu granicy swobodnej oceny dowodów poprzez błędne uznanie, że fakt przetwarzania haseł w postaci jawnej przyczynił się do omyłkowego udostępnienia danych klientów osobom nieuprawnionym, podczas gdy prawidłowa wykładnia tego przepisu prowadzi do wniosku odmiennego;

5. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. w zw. z art. 7 u.o.d.o., polegające na przekroczeniu granicy swobodnej oceny dowodów, poprzez błędne uznanie, że zgromadzony w toku postępowania materiał dowodowy pozwalał przyjąć, że reakcja skarżącej na wiadomość o omyłkowym udostępnieniu danych klientów skarżącej nieuprawnionym osobom:

a) nie uwzględniała ryzyka wiążącego się z przetwarzaniem danych osobowych wynikających z przypadkowego udostępnienia danych osobowych, podczas gdy prawidłowa ocena materiału dowodowego prowadzi do wniosku zupełnie odmiennego - działania podjęte przez skarżącą, w tym zwłaszcza dokładne zweryfikowanie informacji otrzymanych od osób trzecich podyktowane były możliwością wystąpienia ww. ryzyka;

b) przyczyniła się do niezapewnienia zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, podczas gdy prawidłowa ocena materiału dowodowego prowadzi do wniosku zupełnie odmiennego -wszelkie działania podjęte przez skarżącą po zidentyfikowaniu ww. nieprawidłowości prowadziły do przywrócenia poufności, integralności oraz odporności wykorzystywanych przez skarżącą systemów informatycznych.

6. naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 11 k.p.a. w zw. z art. 6, 7, 8 § 1, 77 § 1, 107 § 3 k.p.a. w zw. z art. 7 u.o.d.o., polegające na oparciu rozstrzygnięcia na wzajemnie wykluczających się twierdzeniach, tzn. uznaniu, że skarżąca nie wdrożyła w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania odpowiednich środków technicznych i organizacyjnych:

a) odpowiadających ryzyku naruszenia zdolności do ciągłego zapewniania poufności, integralności, dostępności i odporności systemu przetwarzania danych, przy jednoczesnym umorzeniu postępowania administracyjnego wobec skarżącej w zakresie naruszenia przez nią art. 24, 28 ust. 1, art. 28 ust. 3 lit. h RODO;

b) zapewniających zdolność skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych, przy jednoczesnym umorzeniu postępowania administracyjnego wobec skarżącej w zakresie naruszenia przez nią art. 33 ust. 1 RODO oraz art. 34 ust. 1 RODO.

Zdaniem skarżącej naruszenie ww. przepisów postępowania doprowadziło do błędnego przejęcia przez organ, że skarżąca naruszyła art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.

W przypadku, gdyby Sąd ww. zarzutów nie podzielił skarżąca podniosła zarzuty:

1. naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 RODO w zw. z art. 8 k.p.a. w zw. z art. 7 u.o.d.o., polegające na wymierzeniu skarżącej kary nieproporcjonalnej, mimo że art. 83 ust. 1 RODO nakazuje, aby administracyjna kara pieniężna była proporcjonalna;

2.naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. a RODO, polegające na zastosowaniu przez organ błędnej wykładni ww. przepisu, zgodnie z którą:

a) sama możliwość poniesienia szkody przez osoby dotknięte naruszeniem ochrony danych osobowych;

b) zła wola osoby trzeciej, która w sposób nieuprawniony uzyskała dostęp do danych osobowych;

c) nieznajomość celu, dla którego osoba nieuprawniona podjęła działania skutkujące wystąpieniem naruszenia ochrony danych osobowych

- stanowią okoliczności, które zaostrzają wymiar kary, podczas gdy prawidłowa interpretacja tego przepisu prowadzi do wniosku, że okolicznością zaostrzającą wymiar kary może być poniesienie szkody przez ww. osoby (co nie miało miejsca w przedmiotowej sprawie), nie zaś sama możliwość jej poniesienia. Natomiast okoliczności wskazane w pkt 8 lit. b i c nie stanowią przesłanek zastosowania ww. przepisu;

3. naruszenia przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 2 lit. b RODO polegające na zastosowaniu przez organ błędnej wykładni ww. przepisu i przyjęcie, że nieumyślny charakter naruszenia stanowi okoliczność zaostrzającą wymiar kary, podczas gdy prawidłowa interpretacja tego przepisu prowadzi do wniosku, że jest to okoliczność łagodząca wymiar kary;

4. naruszenia przepisów prawa materialnego, tj. art. 83 ust. 2 lit. k RODO, które miało wpływ na wynik sprawy, poprzez jego niezastosowanie, w sytuacji gdy w przedmiotowej sprawie wystąpiły okoliczności łagodzące, które powinny zostać uwzględnione przez organ przy wymierzaniu kary, tj.:

a) pełna współpraca z organem podczas postępowania administracyjnego w przedmiotowej sprawie, którą sam organ ocenił jako dobrą;

b) liczne działania podjęte przez skarżącą mające na celu usunięcie naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, w tym zwłaszcza przesłanie do klientów skarżącej wyczerpujących komunikatów o naruszeniu;

c) zawiadomienie Prokuratury Okręgowej [...] o podejrzeniu popełnienia przestępstwa;

5. naruszenia przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 § 1, art. 77 § 1 oraz art. 80 k.p.a. w zw. z art. 107 § 3 k.p.a. w zw. z art. 7 u.o.d.o., polegające na przekroczeniu granicy swobodnej oceny dowodów poprzez błędne przyjęcie, że zgromadzony w toku postępowania materiał dowodowy pozwala uznać, że stopień odpowiedzialności skarżącej za przedmiotowe naruszenie był wysoki, podczas gdy fakt zawarcia przez skarżącą umów powierzenia przetwarzania danych osobowych z profesjonalnymi podmiotami z branży IT, tj. [...] oraz [...], celem zapewnienia prawidłowej i profesjonalnej konfiguracji serwerów, na których były przechowywane dane osobowe klientów skarżącej, powinien doprowadzić organ do wniosku, że w niniejszej sprawie nie można mówić o odpowiedzialności skarżącej za zaistniałe naruszenie;

6. naruszenia przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 6, 7, 8 w zw. z art. 77 § 1 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 u.o.d.o., poprzez prowadzenie przez organ postępowania w sposób nieobiektywny, nakierowany na tezę z góry nakreśloną z wyłącznie pożądanego elementu obiektywności procesowej, w postaci nieuwzględnienia udowodnionych przez skarżącą okoliczności łagodzących wymiar kary; brak wyłączenia subiektywnej oceny całokształtu dowodowego przez organ prowadzi jednoznacznie do naruszenia fundamentalnej zasady swobodnej oceny dowodów, co na gruncie przedmiotowej sprawy w efekcie nastąpiło.

Wobec powyższego skarżąca wniosła o uchylenie pkt 1 zaskarżonej decyzji i umorzenie postępowania w sprawie. Nadto wniosła o dopuszczenie dowodów wskazanych w uzasadnieniu skargi oraz o zasądzenie kosztów postępowania według norm przepisanych, w tym kosztów zastępstwa prawnego.

Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie.

W dniu 5 października 2021 r. Sąd pierwszej instancji wydał opisany na wstępie niniejszego wyrok, uchylając zaskarżoną decyzję w pkt 1 (na podstawie art. 145 § 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi; tekst jedn. Dz. U. z 2019 r., poz. 2325 ze zm.; dalej jako "P.p.s.a.") i zasądzając na rzecz skarżącej zwrot kosztów postępowania.

W uzasadnieniu wydanego wyroku Sąd meriti wskazał, że zaskarżoną decyzją organ nałożył na spółkę – administratora danych osobowych, karę pieniężną za naruszenie określonych w tej decyzji przepisów RODO prowadzące do wywołania zagrożenia polegającego na stworzeniu niekontrolowanego dostępu osób trzecich do przetwarzanych danych, wskutek błędu popełnionego przez pracownika podmiotu przetwarzającego ([...]), w związku z resetowaniem serwera, na którym przechowywano dane. Błąd ten polegał na nieprawidłowej konfiguracji zapory sieciowej zresetowanego serwera (tzw. [...]), skutkującej niewłączeniem tej zapory i tym samym pozbawieniem serwera ochrony. Zdaniem organu zasadniczą przyczyną uzasadniającą postawienie administratorowi danych zarzutu naruszenia jego obowiązków mających na celu zapewnienie bezpieczeństwa danych osobowych była zwłoka administratora danych w podjęciu szybkiego i skutecznego działania prowadzącego do stwierdzenia naruszenia ochrony, dającego możliwość zapobieżenia albo ograniczenia skutków tego naruszenia. Organ rozważał naruszenie związanych z tą zwłoką, określonych w decyzji przepisów prawnych jedynie w stosunku do administratora danych i w konsekwencji temu podmiotowi (skarżącej) przypisał całą odpowiedzialność za stwierdzone naruszenie, ponieważ w jego ocenie brak szybkiej reakcji podmiotu przetwarzającego na informację o prawdopodobnym naruszeniu nie zdejmuje z administratora odpowiedzialności za stwierdzenie naruszenia ochrony danych osobowych.

W ocenie Sądu meriti rozważenie zasadniczej w tej sprawie kwestii ewentualnego rozłożenia ciężaru odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych (administratora danych i podmiotu przetwarzającego) wymaga ustalenia zakresu przypisanych każdemu z nich, określonych w rozporządzeniu obowiązków związanych z przetwarzaniem. Jest oczywiste, że gdy administrator danych przetwarzając dane osobowe nie korzysta z usług innego podmiotu – podmiotu przetwarzającego, na nim spoczywa pełna odpowiedzialność za przestrzeganie przepisów mających zapewniać bezpieczeństwo tych danych. Inaczej wygląda sytuacja, jeżeli w procesie przetwarzania danych biorą udział dwa podmioty: administrator i podmiot przetwarzający.

Sąd pierwszej instancji wyjaśnił, że podmiot przetwarzający, to w rozumieniu art. 4 pkt 8 RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Administrator może więc posłużyć się zastępcą, który wykonuje za niego, w jego imieniu czynności przetwarzania. Zastępca (reprezentant) administratora jest odrębnym podmiotem prawa, działającym za reprezentowanego, na podstawie umocowania udzielonego w zawartej z administratorem umowie o powierzeniu przetwarzania. Jeżeli czynności przetwarzania wykonuje podmiot przetwarzający, a nie administrator, to co do zasady do działania tego zastępcy należałoby odnosić przepisy określające obowiązki związane z przetwarzaniem. Rozporządzenie rozkłada jednakże te obowiązki pomiędzy administratora i podmiot przetwarzający, co oznacza, że administrator powierzając przetwarzanie danych innemu podmiotowi nie jest zwolniony całkowicie z odpowiedzialności za niedopełnienie prawnych wymagań dotyczących przetwarzania. Przepisy rozporządzenia kierują niektóre obowiązki do administratora danych (art. 5 ust. 2), inne zaś są adresowane jednocześnie do administratora i do podmiotu przetwarzającego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzający ma odrębne obowiązki w tym zakresie (art. 28 RODO). Co prawda, te obowiązki podmiotu przetwarzającego powinny być umieszczone w zawartej między stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowiązkami wyłącznie obligacyjnymi, co ma oczywiście zasadnicze znaczenie dla określenia odpowiedzialności za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a RODO.

Sąd meriti podkreślił, że podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 RODO). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków.

Zdaniem Sądu pierwszej instancji punktem odniesienia dla konkretyzacji obowiązków kierowanych do administratora i do podmiotu przetwarzającego (np. art. 32 ust. 1 RODO) są ich prawnie wyznaczone funkcje. W ocenie Sądu meriti w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu egzekwowanie odpowiedzialności za naruszenia powstałe w procesie przetwarzania nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia. Świadczą o tym również określone w rozporządzeniu zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów rozporządzenia (art. 83). Tej odpowiedzialności administracyjnej podlegają administrator danych i podmiot przetwarzający. Jedna z dyrektyw nakładania tych kar stanowi, że podjęcie decyzji o nałożeniu kary i ustaleniu jej wysokości wymaga zwrócenia uwagi w każdym indywidualnym przypadku na stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 RODO (art. 83 ust. 2 lit. d).

Odnosząc się do zasadniczej kwestii spóźnionego podjęcia działań zmierzających do stwierdzenia naruszenia ochrony danych osobowych, Sąd pierwszej instancji zauważył, że przepisy rozporządzenia nie formułują wprost prawnego obowiązku podjęcia działań zmierzających do niezwłocznego stwierdzenia takiego naruszenia. Rozporządzenie stanowi jedynie o obowiązku administratora i podmiotu przetwarzającego niezwłocznego zawiadomienia o stwierdzonym naruszeniu ochrony danych osobowych. Administrator bez zbędnej zwłoki zawiadamia o stwierdzonym naruszeniu organ nadzorczy (art. 33 ust. 1). Natomiast podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych bez zbędnej zwłoki zgłasza je administratorowi (art. 33 ust. 2). Organ wywiódł obowiązek doprowadzenia do niezwłocznego stwierdzenia naruszenia ochrony danych osobowych, m. in. z treści art. 32 ust. 1 i 2 rozporządzenia, przypisując go jednak wyłącznie administratorowi danych.

Tymczasem, według Sądu pierwszej instancji, z tych przepisów wynika, że dotyczą one zarówno administratora, jak i podmiotu przetwarzającego, co dodatkowo potwierdza art. 28 ust. 3 lit. c RODO. Co więcej, art. 28 ust. 3 lit. f nakazuje podmiotowi przetwarzającemu udzielenie pomocy administratorowi danych w zakresie wykonywania przez administratora jego obowiązków określonych w art. 32 – 36. Oznacza to, że podmiot przetwarzający ma nie tylko własny obowiązek podjęcia działań zmierzających do niezwłocznego stwierdzenia naruszenia ochrony danych, ale jest również obowiązany do wspierania administratora w jego poczynaniach mających również na celu stwierdzenie naruszenia ochrony bez zbędnej zwłoki.

W świetle przedstawionego stanu prawnego, według Sądu pierwszej instancji, postawienie zarzutu niedopełnienia obowiązku niezwłocznego stwierdzenia naruszenia ochrony danych osobowych tylko jednemu z dwóch podmiotów uczestniczących w przetwarzaniu danych byłoby więc uzasadnione, gdyby powstanie naruszenia nie miało żadnego związku z działaniem lub zaniechaniem drugiego z nich. Zdaniem Sądu meriti okoliczności faktyczne sprawy nie dają podstaw do postawienia zarzutów naruszenia obowiązków wskazanych w zaskarżonej decyzji wyłącznie administratorowi danych i w konsekwencji nałożenia na niego kary pieniężnej.

Sąd pierwszej instancji podkreślił, że naruszenie ochrony polegało na stworzeniu możliwości nieuprawnionego dostępu do danych będących w dyspozycji podmiotu przetwarzającego, wskutek błędu pracownika tego podmiotu, polegającego na niewłączeniu zapory sieciowej zresetowanego serwera. Stało się to w dniu [...] lutego 2020 r. Naruszenie przez nieuprawione udostępnienie danych nie miało zatem bezpośredniego związku z działaniem lub zaniechaniem administratora danych, administrator nie miał bezpośredniego wpływu na powstanie naruszenia. Organ nie wykazał też, że administrator danych mógł swoimi konkretnymi działaniami zapobiec temu zdarzeniu. Jeżeli zatem organ uznał, że stwierdzenie naruszenia było spóźnione, to to opóźnienie nie było przyczyną naruszenia, lecz przyczyną powstania szkody (kradzieży danych) w czasie pomiędzy powstaniem naruszenia ([...] lutego) a stwierdzeniem, że naruszenie powstało ([...] marca 2020 r.).

Zdaniem Sądu pierwszej instancji ustalone w postępowaniu administracyjnym fakty rzeczywiście wskazują, że pomiędzy uzyskaniem przez administratora pierwszej informacji o prawdopodobnym naruszeniu ochrony danych ([...] marca 2020 r.), a stwierdzeniem przez ten podmiot naruszenia i ustaleniem jego źródła ([...] marca 2020 r.) upłynęło kilkanaście dni. W tym czasie ([...] marca 2020 r.) dane, pozbawione ochrony (zabezpieczenia), zostały pobrane i usunięte z serwera przez nieuprawniony podmiot zewnętrzny. Jest zatem bardzo prawdopodobne, że szybsze stwierdzenie naruszenia mogłoby zapobiec "wyciekowi" tych danych i powstaniu związanej z tym szkody. Istotne znaczenie dla obciążenia któregokolwiek z podmiotów odpowiedzialnością za to opóźnienie mają zdarzenia przypadające w okresie pomiędzy [...] a [...] marca 2020 r., wymagające oceny uwzględniającej prawny kontekst całej tej sytuacji.

W ocenie Sądu pierwszej instancji wydaje się oczywiste, że ze względu na to, że naruszenie nastąpiło w procesie przetwarzania danych przez podmiot przetwarzający, wskutek błędu jego pracownika, przede wszystkim ten podmiot miał największe możliwości, przy prawidłowym wykonywaniu swych obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzanych danych, wynikających z art. 32 w związku z art. 28 ust. 3 lit. c RODO, doprowadzenia do niezwłocznego stwierdzenia naruszenia i powiadomienia administratora danych o naruszeniu. Sąd meriti zauważył, że organ rozpatrując kwestię naruszenia przez administratora art. 28 ust. 1 i ust. 3 lit. h RODO umorzył postępowanie w tym zakresie, ponieważ nie dopatrzył się po stronie administratora błędu w wyborze podmiotu przetwarzającego dane.

Według Sądu meriti nie ma podstaw do przypisania administratorowi danych sprawstwa za powstanie naruszenia (spowodowania niekontrolowanego dostępu do danych) ani do postawienia temu podmiotowi zarzutu spowodowania wyłącznie swoim zachowaniem opóźnienia w stwierdzeniu naruszenia ochrony danych osobowych. Jeżeli bowiem już [...] marca 2020 r., po ponownym zresetowaniu serwera, przetwarzający nie dokonał poprawnego jego zabezpieczenia, to ten jego błąd obojętnie czy niezauważony czy zlekceważony, całkowicie obciąża podmiot przetwarzający. Administrator danych, nie posiadając organizacyjnych czy technicznych możliwości prawidłowego, zgodnego z wymogami prawnymi przetwarzania danych, powierzył te czynności innemu podmiotowi, wyspecjalizowanemu w tej materii. Niejako wyręczył się w tym zakresie podmiotem przetwarzającym. Dokonując prawidłowego (niezakwestionowanego przez organ nadzoru) wyboru tego podmiotu, mógł mieć więc zaufanie do jego działania, wsparte znajomością ciążących na nim obowiązków określonych w RODO oraz wynikających z umowy o powierzenie przetwarzania danych. Mocą tej umowy podmiot przetwarzający zobowiązał się wobec administratora danych m.in. do stosowania odpowiednich technicznych, fizycznych oraz organizacyjnych środków bezpieczeństwa w celu ochrony powierzonych danych, sprawowania nadzoru nad bezpieczeństwem danych przez cały okres ich powierzenia i wreszcie do zgłaszania administratorowi bez zbędnej zwłoki faktycznego lub podejrzanego naruszenia ochrony danych (§ 3 ust. 1 lit a i b, ust. 2 pkt 9 umowy).

W ocenie Sądu meriti dokonanie prawidłowego wyboru podmiotu przetwarzającego dane nie zwalnia administratora całkowicie z obowiązków związanych z przetwarzaniem danych i z odpowiedzialności za ich naruszenie. Nie pozwala jednak na egzekwowanie od administratora całej odpowiedzialności za naruszenie przepisów prawa prowadzących do naruszenia ochrony danych osobowych, powstałego z przyczyn leżących po stronie podmiotu przetwarzającego. Zgadzając się z organem, że administrator nie wykazał się znaczącą aktywnością w działaniach zmierzających do zweryfikowania informacji o prawdopodobnym naruszeniu ochrony danych osobowych, Sąd pierwszej instancji zauważył, że jego możliwości działania były ograniczone, poza wywieraniem nacisku na podmiot przetwarzający. Nie wydaje się bowiem, aby administrator miał techniczne, czy organizacyjne możliwości, pozwalające mu na własną rękę skontrolować funkcjonowanie zabezpieczeń serwera, z którego wyciekły dane. Ponadto administrator informował w ramach wyjaśnień składanych organowi nadzoru o utrzymywaniu stałego kontaktu z podmiotem przetwarzającym po pojawieniu się informacji o wycieku danych.

Zdaniem Sądu meriti naruszenie ochrony danych nastąpiło z przyczyn leżących po stronie podmiotu przetwarzającego. Naruszeniem w rozumieniu art. 4 pkt 12 RODO jest bowiem stworzenie nieuprawionego dostępu do danych, a to nastąpiło wskutek błędu pracownika podmiotu przetwarzającego. Organ w żaden sposób nie wykazał, że istnieje związek przyczynowo - skutkowy pomiędzy tym błędem, a zarzucanym administratorowi naruszeniem obowiązków wskazanych w decyzji o nałożeniu kary administracyjnej, które według tego, co już powiedziano należy interpretować zgodne z funkcją administratora jako podmiotu ustalającego cele i sposoby przetwarzania danych. Rozumowanie organu sprowadza się do przyporządkowania (subsumcji) ustalonego stanu faktycznego, ograniczonego do działania administratora pod określone przepisy rozporządzenia, regulujące obowiązki związane z przetwarzaniem danych osobowych, z pominięciem faktu, że te przepisy odnoszą się nie tylko do administratora danych i że ze stanu faktycznego wynika oczywisty udział podmiotu przetwarzającego w powstaniu naruszenia ochrony danych osobowych. Przypisana administratorowi opieszałość w stwierdzeniu naruszenia ochrony danych mogła się ewentualnie przyczynić do powstania szkody w wyniku powstałego naruszenia, a nie do powstania samego naruszenia.

W konsekwencji, Sąd pierwszej instancji uznał za uzasadnione zarzuty skargi, dotyczące naruszenia przepisów postępowania, polegające na niepełnym zebraniu, rozpatrzeniu i błędnej ocenie materiału dowodowego w sprawie (art. 7, art. 7a § 1, art. 8 § 1, art. 77 § 1, art. 81 a § 1 oraz art. 80 k.p.a.). Organ naruszył również przepisy prawa materialnego – art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 oraz art. 83 ust. 1 i ust. 2 lit. d RODO, wymierzając skarżącej karę bez uwzględniania wszystkich okoliczności rozpoznawanego przypadku. Nie wziął pod uwagę roli podmiotu przetwarzającego w powstaniu naruszenia ochrony danych osobowych i tym samym wymierzył administratorowi karę administracyjną z pominięciem zasady proporcjonalności kary w stosunku do stopnia odpowiedzialności administratora danych i podmiotu przetwarzającego.

Organ zaskarżył w całości wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 5 października 2021 r. zarzucając:

1. naruszenie przepisów postępowania, tj. art. 145 § 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 7, art. 7a § 1, art. 8 § 1, art. 77 § 1, art. 81a § 1 oraz art. 80 k.p.a. wobec błędnego uznania, iż Prezes UODO przy dokonywaniu oceny zgromadzonego materiału dowodowego w sprawie nie uwzględnił faktu, iż wystąpienie przedmiotowego naruszenia ochrony danych osobowych spowodowane było jedynie po stronie podmiotu przetwarzającego, podczas gdy prawidłowa analiza materiału dowodowego powinna prowadzić do wniosku, że [...] Sp. z o.o. w [...] z siedzibą w [...] przy ul. [...], nie dopełnił ciążących na nim obowiązków, co miało istotny wpływ na wynik sprawy, skutkujący uchyleniem przez Sąd decyzji w pkt 1;

2. naruszenie przepisów prawa materialnego, tj. art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 oraz art. 83 ust. 1 i ust. 2 lit. d RODO, poprzez jego błędną wykładnię, polegającą na przyjęciu, iż Prezes UODO dokonał procesu miarkowania administracyjnej kary pieniężnej z pominięciem zasady proporcjonalności kary w stosunku do stopnia odpowiedzialności administratora danych i podmiotu przetwarzającego, co w konsekwencji doprowadziło do uchylenia decyzji.

Wskazując na powyższe zarzuty, organ wniósł o uchylenie zaskarżonego orzeczenia w całości, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Ponadto organ wniósł o rozpoznanie skargi kasacyjnej na rozprawie oraz o zasądzenie zwrotu kosztów postępowania sądowego.

W uzasadnieniu skargi kasacyjnej organ przedstawił argumentację mającą wykazać zasadność podniesionych zarzutów.

W odpowiedzi na skargę kasacyjną pełnomocnik spółki wniósł o jej oddalenie i zasądzenie kosztów postępowania wg norm przepisanych. Wniósł również o rozpoznanie skargi kasacyjnej na rozprawie.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2024 r., poz. 935 ze zm.), dalej jako "P.p.s.a.", Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 P.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 P.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku.

Zgodnie z art. 184 P.p.s.a. Naczelny Sąd Administracyjny oddala skargę kasacyjną, jeżeli nie ma usprawiedliwionych podstaw albo jeżeli zaskarżone orzeczenie mimo błędnego uzasadnienia odpowiada prawu. W świetle powołanego przepisu Naczelny Sąd Administracyjny oddala skargę kasacyjną również w sytuacji, gdy zaskarżone orzeczenie mimo błędnego uzasadnienia odpowiada prawu, to jest gdy nie ulega wątpliwości, że po usunięciu przez Naczelny Sąd Administracyjny błędów zawartych w uzasadnieniu wyroku Sądu pierwszej instancji jego sentencja nie uległaby zmianie. Taka sytuacja ma miejsce w okolicznościach rozpatrywanej sprawy, bowiem pomimo częściowej wadliwości stanowiska Sądu pierwszej instancji zaprezentowanej w uzasadnieniu zaskarżonego wyroku Sąd pierwszej instancji słusznie uznał, że kontrolowana w sprawie decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] jest w zaskarżonej części błędna.

W realiach rozpatrywanej sprawy swoistym punktem wyjścia należy uczynić ocenę działania organu nadzoru, który w następstwie zgłoszenia przez [...] naruszenia poufności danych swoich klientów (co miało miejsce w dniu [...] marca 2020 r.) jak i szeregu skarg indywidualnych klientów spółki wniesionych do organu nadzoru na niezgodne z prawem przetwarzanie ich danych osobowych zaniechał przeprowadzenia jednego postępowania obejmującego "całość zdarzenia", a w to miejsce prowadził szereg rozproszonych postępowań dotyczących tej samej materii.

Wskazać należy, że incydent naruszenia danych osobowych polegał na braku ich zabezpieczenia w dniach [...] marca 2020 r. przez podmiot przetwarzający [...] w [...] ([...]), z którym administrator, tj. [...] Sp. z o.o. [...] w [...] zawarł [...] marca 2018 r. umowę powierzenia przetwarzania danych osobowych. Incydent ten był przedmiotem postępowania wszczętego z urzędu przez Prezesa Urzędu Ochrony Danych Osobowych, zakończonego wydaniem decyzji z dnia [...] grudnia 2000 r. nr [...], której punkt 1 został następnie uchylony wyrokiem wydanym przez Sąd pierwszej instancji. Jednocześnie osoby dotknięte powyższym incydentem skorzystały ze środka prawnego, o którym mowa w art. 77 ust. 1 RODO. Prezes Urzędu Ochrony Danych Osobowych w tych sprawach wszczął odrębne postępowania i w każdym z nich korzystając ze swojego uprawnienia naprawczego udzielił – [...] Sp. z o.o. [...] w [...] upomnienia za naruszenie wskazanych w treści decyzji przepisów RODO za czyn polegający na udostępnieniu bez podstawy prawnej danych osobowych indywidualnie oznaczonej osoby. Skargi do WSA w Warszawie w tych sprawach wnosił administrator danych – [...] Sp. z o.o. [...] w [...], a sądy administracyjne pierwszej instancji albo oddalały skargi, albo uchylały zaskarżoną decyzję i umarzały postępowanie prowadzone przed organem nadzoru.

Podkreślenia wymaga, że organ nadzoru prowadząc szereg odrębnych postępowań uznał w istocie, że wszczęcie postępowania w związku ze zgłoszeniem administratora danych osobowych naruszenia zasad ich przetwarzania dokonanego na podstawie art. 33 ust. 1 RODO nie stoi na przeszkodzie w prowadzeniu odrębnego postępowania wszczętego w związku ze złożeniem indywidualnej skargi do organu nadzorczego na nieprawidłowości w procesie przetwarzania danych osobowych. Innymi słowy, uznał za odpowiadające prawu prowadzenie odrębnych postępowań w przedmiocie rozpoznania skarg osób fizycznych, jeśli prowadzone jest postępowanie główne mające na celu ustalenie odpowiedzialności administracyjnej za naruszenie obowiązków administratora związanych z przetwarzaniem danych osobowych, wynikających z przepisów RODO.

Naczelny Sąd Administracyjny stoi na stanowisku, że konieczne jest wszczęcie i przeprowadzenie jednego postępowania przez Prezesa Urzędu Ochrony Danych Osobowych, w ramach którego dojdzie do ustalenia wszystkich naruszeń przepisów RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszającej kary administracyjnej na podmiot odpowiedzialny w związku ze zdarzeniem naruszenia danych osobowych polegającym na braku zabezpieczenia danych klientów administratora w dniach [...] marca 2020 r. przez podmiot przetwarzający [...] w [...] ([...]), z którym administrator, tj. [...] Sp. z o.o. [...] w [...] zawarł w dniu [...] marca 2018 r. umowę powierzenia przetwarzania danych osobowych.

Wskazać należy, że zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Z kolei przepis art. 77 ust. 1 RODO stanowi, że bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

O ile więc przepis art. 33 ust. 1 RODO nakłada obowiązek prawny na administratora danych osobowych zgłoszenia organowi nadzoru naruszenia ochrony danych osobowych, określa sytuację, w której ten obowiązek powstaje oraz termin jego dopełnienia, o tyle przepis art. 77 ust. 1 RODO reguluje uprawnienie osoby, której dane osobowe są przetwarzane, do złożenia skargi do organu nadzoru, jeżeli sądzi, że przetwarzanie jej danych osobowych narusza przepisy RODO. Żaden z tych przepisów nie odnosi się do zagadnienia procesowego związanego z wszczęciem postępowania kontrolnego oraz ile postępowań należy prowadzić w związku z danym incydentem.

Zadania organu nadzoru, w tym zadania związane z prowadzeniem postępowań normowanych przez RODO uregulowane zostały w przepisie art. 57 ust. 1 RODO, który m.in. w lit. f wskazuje, że organ nadzoru rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym. Przepisy art. 57 ust. 1 RODO milczą natomiast w przedmiocie postępowania wszczynanego w związku ze zgłoszeniem, o którym mowa w art. 33 ust. 1 RODO. Dodać należy, że w przypadku naruszenia ochrony danych osobowych badana może być kwestia właściwej ochrony przetwarzania danych osobowych, a zatem realizacji obowiązków administratora, o których mowa m.in. w art. 5 ust. 1 RODO. Musi to prowadzić do konkluzji, iż regulacja z art. 57 ust. 1 RODO jest niewyczerpująca i wymienia przykładowe rodzaje zadań i ewentualnych postępowań kontrolnych.

Naczelny Sąd Administracyjny wskazuje, że stanowisko jakoby postępowanie związane z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO dotyczy tej samej materii, co postępowania inicjowane indywidualnymi skargami, o których stanowi art. 77 ust. 1 RODO, jest zasadne jedynie częściowo. Można bowiem racjonalnie założyć, iż dojść może do naruszenia ochrony danych osobowych, mimo dopełnienia przez administratora swoich obowiązków wynikających z RODO. Może także dojść do sytuacji, w których oba przedmioty będą pozostawać w związku, gdyż naruszenie obowiązków administratora doprowadzi do naruszenia ochrony danych osobowych. Wówczas przedmioty obu postępowań choć nie będą takie same, będą jednak pozostawać ze sobą w takim związku, iż nieuzasadnione będzie prowadzenie odrębnych postępowań wszczętych w związku z indywidualnymi skargami, o których mowa w art. 77 ust. 1 RODO. Przypadek taki będzie mieć miejsce wówczas, gdy naruszenie obowiązków administratora, o których mowa m.in. w przepisach art. 5 ust. 1 i art. 32 RODO prowadzi do naruszenia ochrony danych osobowych, co wiąże się z potrzebą nałożenia kary administracyjnej. W takich przypadkach wyjaśnienie zagadnienia niedopełnienia obowiązków administratora będzie równoznaczne z wyjaśnieniem okoliczności naruszenia zasad przetwarzania danych osobowych konkretnej osoby jako skutku lub następstwa niedopełnienia tych obowiązków. W takich sytuacjach mnożenie postępowań administracyjnych jest niedopuszczalne, gdyż celem i przedmiotem obu postępowań jest nałożenie kary administracyjnej. W tych sprawach nie jest jednak wykluczone skorzystanie przez osoby indywidualne ze środka prawnego, o którym mowa w art. 77 ust. 1 RODO, np. po wydaniu ostatecznej decyzji w postępowaniu związanym z badaniem realizacji obowiązków administratora z art. 5 ust. 1 i art. 32 RODO. Wynika to z prawa do skutecznego środka prawnego i dostępu do bezstronnego sądu ustanowionego w art. 47 Karty Praw Podstawowych Unii Europejskiej z 7 grudnia 2000 r. (Dz. U. UE C z dnia 14 grudnia 2007 r.), z którego treści wywieść należy, że jeśli sąd wydał wyrok wiążący erga omnes, ale osoba, której prawa zostały naruszone, nie uczestniczyła w tym postępowaniu, to ma ona prawo do środka odwoławczego z pominięciem mocy wiążącej takiego wyroku zapadłego w sprawie "głównej". Przepis art. 47 Karty Praw Podstawowych Unii Europejskiej ma charakter uniwersalny i odnosi się do wszystkich uprawnień wynikających z prawa UE, również do uprawnień osób, których dane osobowe są przetwarzane niezgodnie z przepisami RODO.

Ponadto, jeżeli naruszenie praw wielu osób jest skutkiem jednego stanu faktycznego (jednego naruszenia), to należy przyjąć, że jest to jedna sprawa materialna w rozumieniu ustawy – Kodeks postępowania administracyjnego. Na przedmiot sprawy administracyjnej składa się element przedmiotowy (stan faktyczny) oraz podmiotowy (osoby, których dane zostały udostępnione). Jeśli do naruszenia RODO doszło na skutek jednego zdarzenia, to jego konsekwencje dotyczą interesu prawnego wielu osób. To stanowisko wspiera wykładnia systemowa. Motyw 20 RODO mówi o rozpatrywaniu przez organy nadzorcze skarg "związanych z operacjami przetwarzania danych". Podobnie motyw 131 RODO wskazuje na ujęcie przedmiotowe, postępowanie prowadzone jest wobec czynności przetwarzania ( "Jeżeli funkcję wiodącego organu nadzorczego wobec czynności przetwarzania prowadzonych przez administratora lub podmiot przetwarzający powinien pełnić inny organ nadzorczy, ale konkretny przedmiot skargi lub ewentualnego naruszenia dotyczy wyłącznie czynności przetwarzania prowadzonych przez administratora"). Tym samym, naruszenie ochrony danych (zdarzenie, incydent) powinno spotkać się z jedną reakcją organu nadzorczego, tym bardziej, że liczba osób poszkodowanych naruszeniem jest okolicznością obciążającą administratora. Wydana decyzja będzie miała wpływ na prawa wszystkich podmiotów objętych naruszeniem i osoby te powinny mieć prawo do kwestionowania stanowiska PUODO. Szczególnie jeśliby w ocenie organu nie doszło do naruszenia, osoby poszkodowane powinny mieć możliwość zaskarżenia decyzji "głównej", która w innym przypadku miałaby charakter wiążący i stałaby na przeszkodzie realizacji indywidualnych uprawnień wynikających z prawa UE. Sytuacja, w której organ prowadzi postępowanie główne z pominięciem osób poszkodowanych, z pewnością naruszałaby standard proceduralny wynikający z art. 47 Karty Praw Podstawowych Unii Europejskiej, do której to regulacji przepisy RODO zresztą się odwołują.

Kolejnym argumentem przemawiającym za powyższym stanowiskiem jest treść przepisu art. 83 ust. 2 RODO, a w szczególności jego litery "a". Przepis ten wskazuje na okoliczności, które winny przemówić za nałożeniem administracyjnej kary pieniężnej oraz określa dyrektywy ustalenia jej wysokości. Wśród tych dyrektyw jako jedna z najważniejszych wskazana jest liczba poszkodowanych osób, których dane dotyczą. Wywieść z tego przepisu należy wniosek, że liczba poszkodowanych osób warunkuje ukaranie administracyjną karą pieniężną oraz determinuje wysokość takiej kary. Wyłączenie do odrębnego rozpoznania spraw, w których osoby indywidualne wniosły skargi do organu nadzoru ma ten skutek, że pomniejsza liczbę osób poszkodowanych w sprawie głównej mającej za przedmiot dany incydent związany z niewłaściwym przetwarzaniem danych osobowych, naruszeniem obowiązków administratora. Prowadzenie odrębnych postępowań w odniesieniu do skarg indywidualnych skutkuje więc tym, że nie będą one uwzględnione w liczbie osób poszkodowanych branych pod rozwagę przy podejmowaniu decyzji w przedmiocie nałożenia administracyjnej kary pieniężnej i jej wysokości w sprawie głównej. Jest to też częściowo konsekwencją wątpliwości co do sensowności wielokrotnego upominania administratora za ten sam incydent.

Swoiste "rozparcelowanie" jednego incydentu tego rodzaju na wiele postępowań w przedmiocie nałożenia odpowiedzialności administracyjnej może prowadzić do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiarów poniesionych szkód. Taka decyzja procesowa organu prowadzi w gruncie rzeczy do naruszenia zasad i reguł postępowania wyjaśniającego, w tym przede wszystkim art. 7, art. 77 § 1 i art. 80 k.p.a., gdyż wówczas sprawa konkretnego incydentu zasadniczo nie może być prawidłowo wyjaśniona przy uwzględnieniu wszystkich jego okoliczności faktycznych. Wyłączenie bowiem pewnych fragmentów zdarzenia powoduje ich wykluczenie z generalnego budowania obrazu każdej indywidualnej sprawy związanej z naruszeniem przepisów RODO.

Naczelny Sąd Administracyjny stoi przy tym na stanowisku, że kwestia odpowiedzialności administracyjnej administratora lub podmiotu przetwarzającego dane osobowe nie jest uregulowana w sposób jednolity w przepisach RODO i jest determinowana przez następujące czynniki. Przede wszystkim zakres odpowiedzialności administratora lub podmiotu przetwarzającego zależą od tego, czy umowa lub inny instrument prawny na podstawie którego nastąpiło przekazanie przez administratora przetwarzania danych podmiotowi przetwarzającemu dane podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora (art. 28 ust. 3 RODO). Należy to rozumieć w ten sposób, iż taka umowa lub instrument muszą podlegać prawu UE lub prawu państwa członkowskiego, jak również administrator i podmiot przetwarzający muszą podlegać prawu UE lub prawu państwa członkowskiego, tj. pozostawać w zakresie jego jurysdykcji. Wówczas możliwe jest rozważanie zagadnienia odrębnej oceny odpowiedzialności administratora danych osobowych oraz odrębnej odpowiedzialności podmiotu przetwarzającego za ewentualne naruszenie przepisów RODO, w tym odpowiedzialności administracyjnej. W takiej sytuacji odpowiedzialność administratora może zostać ograniczona np. do oceny dopełnienia obowiązków z art. 28 ust. 1 RODO na etapie zawierania umowy.

Z kolei w sytuacjach, gdy administrator podlegający prawu UE lub prawu państwa członkowskiego i jego jurysdykcji zawiera umowę o powierzenie przetwarzania danych osobowych, która nie podlega prawu UE lub państwa członkowskiego lub z podmiotem, który nie podlega jurysdykcji państwa członkowskiego UE, wówczas ponosi on odpowiedzialność obiektywną za wszystkie czynności przetwarzania danych osobowych dokonywane przez taki podmiot przetwarzający. Wniosek taki możliwy jest do wyprowadzenia w drodze wykładni językowej przepisu art. 5 ust. 2 RODO, który dochowanie zasad i obowiązków przetwarzania danych osobowych, a następnie odpowiedzialności z tym związanej wiąże z administratorem danych, jak również wykładni systemowej całości przepisów RODO, które nakierowane są na ochronę danych osobowych oraz skuteczne egzekwowanie każdego naruszenia prawa do ochrony danych osobowych. W przypadku naruszenia zasad przetwarzania danych osobowych wynikających z RODO lub innych przepisów państwa członkowskiego odpowiedzialność ponosi administrator danych osobowych, chyba że możliwe będzie przypisanie takiej odpowiedzialności innemu podmiotowi zaangażowanemu w przetwarzanie danych osobowych na zasadach wynikających z RODO (lub przepisów prawa państwa członkowskiego), a następnie jej skuteczne wyegzekwowanie zgodnie z przepisami RODO. To zaś oznacza, że przejęcie obowiązków administratora przez podmiot przetwarzający musi nastąpić na podstawie umowy lub instrumentu prawnego regulowanego przepisami RODO lub przepisami państwa członkowskiego UE i jednocześnie przez podmiot przetwarzający, który podlega jurysdykcji państwa członkowskiego UE, tak aby możliwe było pociągnięcie go do odpowiedzialności prawnej wynikającej z RODO lub przepisów prawa państwa członkowskiego. Przez powyższe ustalenia należy interpretować przepis art. 83 ust. 2 lit. d RODO, gdyż w przeciwnym razie niemożliwe byłoby osiągnięcie celów odpowiedzialności administracyjnej, w tym celów nakładania administracyjnych kar pieniężnych, których zastosowanie za naruszenie przepisów RODO winno być skuteczne, proporcjonalne i odstraszające.

Nie sposób zatem zaakceptować poglądu wyrażonego przez Sąd pierwszej instancji, który w uzasadnieniu wydanego wyroku wskazał m.in., że [...] podmiot przetwarzający jest obowiązany do współdziałania z administratorem, a nawet do udzielania mu pomocy w wywiązywaniu się z jego obowiązków określonych w art. 32-36 (art. 28 rozporządzenia). Nałożenie zarówno na administratora, jak i na podmiot przetwarzający dość ogólnego obowiązku zapewnienia bezpieczeństwa danych (art. 32 ust. 1) nie implikuje oczywiście konieczności podejmowania przez te podmioty działań tego samego rodzaju i nie rodzi po ich stronie odpowiedzialności za naruszenia, niezależnie od tego, któremu z nich można je przypisać. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzania danych i solidarnej odpowiedzialności za naruszenie tych obowiązków. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowiązków kierowanych do administratora i do podmiotu przetwarzającego (np. art. 32 ust. 1) są ich prawnie wyznaczone funkcje. Według rozporządzenia funkcją administratora danych jest samodzielne lub wspólnie z innymi ustalanie celów i sposobów przetwarzania danych osobowych (art. 4 pkt 7 rozporządzenia). Do podmiotu przetwarzającego należy natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, że na każdym z tych podmiotów ciążą obowiązki dotyczące zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w piśmiennictwie. W komentarzu do art. 5 ust. 2 rozporządzenia formułującego ogólną zasadę odpowiedzialności administratora danych za przestrzeganie przepisów rozporządzenia dotyczących przetwarzania danych osobowych wyrażono pogląd, że w przypadku powierzenia przetwarzania danych osobowych, obowiązki wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa odpowiadającego ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia spoczywają na podmiocie przetwarzającym (Sąd pierwszej instancji przywołał publikację "Ogólne rozporządzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz" pod red. P. Lipińskiego, Warszawa 2021, s. 164). Zdaniem Sądu pierwszej instancji przedstawione powyżej rozważania uzasadniają stwierdzenie, że w przypadku powierzenia przetwarzania danych podmiotowi przetwarzającemu egzekwowanie odpowiedzialności za naruszenia powstałe w procesie przetwarzania nie może nie brać pod uwagę obowiązków obu podmiotów uczestniczących w przetwarzaniu i nie uwzględniać ich indywidualnego przyczynienia się do powstania naruszenia. Świadczą o tym również określone w rozporządzeniu zasady nakładania administracyjnych kar pieniężnych za naruszenie przepisów rozporządzenia (art. 83). Tej odpowiedzialności administracyjnej podlegają administrator danych i podmiot przetwarzający. Jedna z dyrektyw nakładania tych kar stanowi, że podjęcie decyzji o nałożeniu kary i ustaleniu jej wysokości wymaga zwrócenia uwagi w każdym indywidualnym przypadku na stopień odpowiedzialności administratora lub podmiotu przetwarzającego, z uwzględnieniem środków technicznych organizacyjnych wdrożonych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d)". Sąd pierwszej instancji skonstatował również, że wydaje się oczywiste, że ze względu na to, że naruszenie nastąpiło w procesie przetwarzania danych przez podmiot przetwarzający, wskutek błędu jego pracownika, przede wszystkim ten podmiot miał największe możliwości, przy prawidłowym wykonywaniu swych obowiązków dotyczących zapewnienia bezpieczeństwa przetwarzanych danych, wynikających z art. 32 w związku z art. 28 ust. 3 lit. c rozporządzenia, doprowadzenia do niezwłocznego stwierdzenia naruszenia i powiadomienia administratora danych o naruszeniu. Sąd meriti zauważył, że organ rozpatrując kwestię naruszenia przez administratora art. 28 ust. 1 i ust. 3 lit. h rozporządzenia umorzył postępowanie w tym zakresie, ponieważ nie dopatrzył się po stronie administratora błędu w wyborze podmiotu przetwarzającego dane. Zdaniem Sądu pierwszej instancji, w świetle analizowanych przepisów rozporządzenia i ustalonych przez organ okoliczności faktycznych sprawy nie ma podstaw do przypisania administratorowi danych sprawstwa za powstanie naruszenia (spowodowania niekontrolowanego dostępu do danych) ani do postawienia temu podmiotowi zarzutu spowodowania wyłącznie swoim zachowaniem opóźnienia w stwierdzeniu naruszenia ochrony danych osobowych. Jeżeli bowiem już [...] marca 2020 r., po ponownym zresetowaniu serwera, przetwarzający nie dokonał poprawnego jego zabezpieczenia, to ten jego błąd obojętnie czy niezauważony czy zlekceważony, całkowicie obciąża podmiot przetwarzający.

Mając na uwadze próbę uchylenia się przez administratora danych osobowych za naruszenie zasad ich przetwarzania i przyjęcie założenia, że odpowiedzialność ta spoczywa na gruncie okoliczności faktycznych niniejszej sprawy na podmiocie przetwarzającym Naczelny Sąd Administracyjny uznał, że w związku z powierzeniem funkcji podmiotu przetwarzającego dane osobowe podlegającemu jurysdykcji [...] zachodzi pełna odpowiedzialność administratora danych osobowych, którym jest skarżąca spółka, a w konsekwencji rozważanie, czy to administrator prowadził procesy przetwarzania danych osobowych i czy miało to miejsce bez podstawy prawnej w tym kontekście nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialności w zakresie administracyjnej kary pieniężnej. Wyprowadzenie procesu przetwarzania danych osobowych poza kraje, w których obowiązują przepisy RODO oraz na rzecz podmiotu, który nie podlega jurysdykcji państwa członkowskiego UE było świadomym działaniem administratora, stąd dla zachowania realizacji praw podmiotowych osób podlegających ochronie przepisów RODO i skuteczności tych przepisów konieczne jest przyjęcie takiego stanowiska.

W ocenie Naczelnego Sądu Administracyjnego, na tle wykładni wskazanych regulacji RODO jak i na tle opisanych wcześniej okoliczności faktycznych zachodzi potrzeba prowadzenia jednego postępowania w odniesieniu do całości zdarzenia naruszenia zasad przetwarzania danych osobowych. Sprawa główna, w której wydana została przez Prezesa Urzędu Ochrony Danych Osobowych decyzja z dnia [...] grudnia 2000 r. nr [...] jak i jednostkowe sprawy dotyczące niezgodnego z prawem przetwarzania danych osobowych powinny zostać rozpoznane ponownie w ramach jednego postępowania. Innymi słowy, powinno dojść do połączenia w jedną sprawę sprawy niniejszej, jak również wszystkich innych spraw prowadzonych w związku ze skorzystaniem przez osoby, których dane osobowe zostały naruszone, ze środka w postaci indywidualnej skargi do organu nadzoru. Osoby takie powinny uzyskać status stron takiego postępowania. W jego ramach winno dojść do wyjaśnienia wszystkich istotnych okoliczności sprawy, jaki i zapewnienia praw procesowych stronom postępowania, a następnie wydania decyzji orzekającej o konsekwencjach administracyjnoprawnych odnoszących się do całości incydentu.

Mając na względzie powyższe rozważania Naczelny Sąd Administracyjny na podstawie art. 184 P.p.s.a. oddalił skargę kasacyjną organu, o czym orzeczono jak w punkcie pierwszym sentencji wyroku.

O odstąpieniu od zasądzenia zwrotu kosztów postępowania kasacyjnego w całości orzeczono jak w punkcie drugim sentencji wyroku na podstawie art. 207 § 2 P.p.s.a.