{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-15 03:21\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b III OSK 669/22 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2025-06-18
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-03-14
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Naczelny S\u261?d Administracyjny
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Pawe\u322? Mierzejewski /sprawozdawca/
\par Rafa\u322? Stasikowski
\par Zbigniew \u346?lusarczyk /przewodnicz\u261?cy/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 II SA/Wa 528/21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281? kasacyjn\u261?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2024 nr 0 poz 935; art. 184: art. 204 pkt 2 w zw. art. 205 par. 2; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t. j.)
\par Dz.U.UE.L 2016 nr 119 poz 1; art. 5 ust. 1, art. 32, art. 33 ust. 1, art. 57 ust. 1, art. 77 ust. 1, art. 83 ust. 2; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Naczelny S\u261?d Administracyjny w sk\u322?adzie: Przewodnicz\u261?cy: S\u281?dzia NSA Zbigniew \u346?lusarczyk S\u281?dziowie: S\u281?dzia NSA Rafa\u322? Stasikowski S\u281?dzia del. WSA Pawe\u322? Mierzejewski (spr.) Protokolant: Starszy asystent s\u281?dziego Agnieszka Kozik po rozpoznaniu w dniu 18 czerwca 2025 r. na rozprawie w Izbie Og\u243?lnoadministracyjnej skargi kasacyjnej Prezesa Urz\u281?du Ochrony Danych Osobowych od wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z dnia 5 pa\u378?dziernika 2021 r. sygn. akt II SA/Wa 528/21 w sprawie ze skargi [...] Sp. z o.o. [...] z siedzib\u261? w [...] na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych 1. oddala skarg\u281? kasacyjn\u261?; 2. odst\u281?puje od zas\u261?dzenia od Prezesa Urz\u281?du Ochrony Danych Osobowych na rzecz [...] Sp. z o.o. [...] z siedzib\u261? w [...] zwrotu koszt\u243?w post\u281?powania kasacyjnego w ca\u322?o\u347?ci.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Zaskar\u380?onym wyrokiem z dnia 5 pa\u378?dziernika 2021 r., sygn. akt II SA/Wa 528/21 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie po rozpoznaniu sprawy ze skargi [...] Sp. z o.o. [...] z siedzib\u261? w [...] (dalej: "sp\u243?\u322?ka" albo "skar\u380?\u261?ca") na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych (dalej: "organ" albo "Prezes UODO") z dnia [...] grudnia 2020 r. nr [...] w przedmiocie przetwarzania danych osobowych:
\par 
\par 1. uchyli\u322? pkt 1 zaskar\u380?onej decyzji,
\par 
\par 2. zas\u261?dzi\u322? od Prezesa UODO na rzecz skar\u380?\u261?cej kwot\u281? [...] z\u322? tytu\u322?em zwrotu koszt\u243?w post\u281?powania.
\par 
\par Wyrok zosta\u322? wydany w nast\u281?puj\u261?cym stanie faktycznym i prawnym sprawy:
\par 
\par W dniu [...] marca 2020 r. [...] Sp. z o.o. [...] zg\u322?osi\u322?a Prezesowi UODO naruszenie poufno\u347?ci danych swoich klient\u243?w. Sp\u243?\u322?ka, kt\u243?rej przedmiotem dzia\u322?alno\u347?ci jest [...], poda\u322?a, \u380?e w dniu [...] marca 2020 r. mia\u322?a miejsce awaria serwera i wraz z jego restartem zosta\u322?y zresetowane ustawienia oprogramowania odpowiadaj\u261?cego za bezpiecze\u324?stwo serwera (zapory firewall), w konsekwencji czego dane osobowe [...] os\u243?b znajduj\u261?ce si\u281? na serwerze by\u322?y publicznie dost\u281?pne. Baza danych znajduj\u261?ca si\u281? na tym serwerze zosta\u322?a pobrana (skopiowana) przez nieustalony podmiot trzeci, kt\u243?ry wyst\u261?pi\u322? do sp\u243?\u322?ki z \u380?\u261?daniem zap\u322?aty wynagrodzenia w zamian za jej zwrot. Sp\u243?\u322?ka wyja\u347?ni\u322?a, \u380?e baza danych nie by\u322?a g\u322?\u243?wn\u261? baz\u261? klient\u243?w (potencjalnych klient\u243?w) sp\u243?\u322?ki, obejmowa\u322?a dane statystyczne, z tego powodu nie zosta\u322?a obj\u281?ta skanowaniem pod k\u261?tem zabezpiecze\u324? po zresetowaniu serwera. Sp\u243?\u322?ka wyja\u347?ni\u322?a, \u380?e restartu serwera dokona\u322?a [...] z siedzib\u261? w [...], kt\u243?rej na podstawie umowy z dnia [...] marca 2018 r. powierzy\u322?a przetwarzanie danych w celu realizacji us\u322?ug maj\u261?cych charakter [...].
\par 
\par Decyzj\u261? z dnia [...] grudnia 2020 r. nr [...] wydan\u261? na podstawie art. 104 \u167? 1 i art. 105 \u167? 1 ustawy z dnia 14 czerwca 1960 r. - Kodeks post\u281?powania administracyjnego (Dz. U. z 2020 r. poz. 256 ze zm.) dalej "k.p.a.", art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), dalej: "u.o.d.o." oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. i, art. 83 ust. 1-3, art. 83 ust. 4 lit. a oraz art. 83 ust. 5 lit. a w zwi\u261?zku z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, art. 28 ust. 3 lit. h, 32 ust. 1 lit. b i lit. d, art. 32 ust. 2, art. 33 ust. 1 i art. 34 ust. 1 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016, str. 1, ze zm., og\u243?lne rozporz\u261?dzenie o ochronie danych), dalej: "RODO", Prezes UODO:
\par 
\par 1. stwierdzi\u322? naruszenie przez sp\u243?\u322?k\u281? przepis\u243?w art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO, polegaj\u261?ce na niewdro\u380?eniu przez sp\u243?\u322?k\u281?, zar\u243?wno w fazie projektowania procesu przetwarzania, jak i w czasie samego przetwarzania, odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych odpowiadaj\u261?cych ryzyku naruszenia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci systemu przetwarzania danych osobowych, a tak\u380?e zapewniaj\u261?cych zdolno\u347?\u263? skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniaj\u261?cych regularn\u261? ocen\u281? skuteczno\u347?ci tych \u347?rodk\u243?w, co skutkowa\u322?o uzyskaniem przez osoby trzecie nieuprawnionego dost\u281?pu do przetwarzanych danych osobowych oraz na\u322?o\u380?y\u322? na sp\u243?\u322?k\u281? administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci [...] z\u322?;
\par 
\par 2. w pozosta\u322?ym zakresie post\u281?powanie umorzy\u322?.
\par 
\par W uzasadnieniu wydanej decyzji organ podni\u243?s\u322?, \u380?e po otrzymaniu pierwszej informacji o potencjalnym naruszeniu ochrony danych osobowych, administrator mo\u380?e przeprowadzi\u263? kr\u243?tkotrwa\u322?e post\u281?powanie, aby ustali\u263?, czy faktycznie dosz\u322?o do danego naruszenia, przy czym nale\u380?y oczekiwa\u263?, \u380?e wst\u281?pne post\u281?powanie powinno rozpocz\u261?\u263? si\u281? mo\u380?liwie jak najszybciej i doprowadzi\u263? do jak najszybszego ustalenia z wystarczaj\u261?c\u261? doz\u261? pewno\u347?ci, czy w danym przypadku faktycznie dosz\u322?o do wyst\u261?pienia naruszenia. W przypadku jakichkolwiek w\u261?tpliwo\u347?ci, maj\u261?c w szczeg\u243?lno\u347?ci na wzgl\u281?dzie charakter i zakres przetwarzanych danych oraz ryzyko wi\u261?\u380?\u261?ce si\u281? z ich, np. przypadkowym udost\u281?pnieniem, administrator powinien zg\u322?osi\u263? naruszenie organowi nadzorczemu, nawet je\u347?li taka ostro\u380?no\u347?\u263? mog\u322?aby si\u281? okaza\u263? nadmierna.
\par 
\par Organ wskaza\u322?, \u380?e w dniu [...] marca 2020 r. sp\u243?\u322?ka otrzyma\u322?a pierwsz\u261? informacj\u281? (wiadomo\u347?\u263? e-mail) o istnieniu serwera z publicznie dost\u281?pnymi danymi klient\u243?w sp\u243?\u322?ki korzystaj\u261?cych z witryny internetowej [...]. W wiadomo\u347?ci przedstawiony zosta\u322? fragment informacji zawieraj\u261?cy dane osobowe u\u380?ytkownika witryny [...], m.in. numer PESEL, adres e-mail i identyfikator u\u380?ytkownika (nie podano natomiast adresu IP serwera, kt\u243?rego nieprawid\u322?owa konfiguracja doprowadzi\u322?a do naruszenia ochrony danych osobowych).
\par 
\par Zdaniem organu ta informacja powinna stanowi\u263? dla administratora danych impuls do pr\u243?by uzyskania dodatkowych informacji od nadawcy z zachowaniem nale\u380?ytej ostro\u380?no\u347?ci oraz by\u263? przyczyn\u261? do podj\u281?cia bardziej zintensyfikowanych dzia\u322?a\u324? we wsp\u243?\u322?pracy z podmiotem przetwarzaj\u261?cym. Sp\u243?\u322?ka powinna uzmys\u322?owi\u263? sobie skal\u281? potencjalnego naruszenia (obejmuj\u261?cego wszystkich klient\u243?w) i negatywnych dla nich konsekwencji, do jakich mo\u380?e doj\u347?\u263? lub ju\u380? dosz\u322?o, zw\u322?aszcza \u380?e podane informacje (dane osobowe) rzeczywi\u347?cie dotyczy\u322?y jego klienta i ich ujawnienie bez w\u261?tpienia mo\u380?e skutkowa\u263? wysokim ryzykiem naruszenia praw lub wolno\u347?ci osoby, kt\u243?rej dotycz\u261?.
\par 
\par Prezes UODO argumentowa\u322?, \u380?e o ile s\u322?usznie sp\u243?\u322?ka niezw\u322?ocznie przekaza\u322?a wiadomo\u347?\u263? podmiotowi przetwarzaj\u261?cemu i opar\u322?a swoje przekonanie o konieczno\u347?ci zawiadomienia organu nadzorczego dopiero po potwierdzeniu jej wiarygodno\u347?ci, o tyle ze zgromadzonego materia\u322?u dowodowego nie wynika, by administrator podejmowa\u322? inne dzia\u322?ania zmierzaj\u261?ce do szybkiego i skutecznego stwierdzenia naruszenia. Dyrektor ds. [...] \u8211? administratora danych osobowych, w dniu [...] marca 2020 r. po otrzymaniu wiadomo\u347?ci z dnia [...] marca 2020 r. przekierowa\u322? j\u261? do dyrektora [...] z kr\u243?tkim komentarzem poddaj\u261?cym w w\u261?tpliwo\u347?\u263? intencje nadawcy i wskazuj\u261?ce na tzw. "[...]" i w dniu [...] marca 2020 r. zwr\u243?ci\u322? si\u281? do niego z pytaniem, czy przekazana wiadomo\u347?\u263? zosta\u322?a zweryfikowana (tego samego dnia [...] dokona\u322?a restartu serwera, jednak jego konfiguracja nadal by\u322?a nieprawid\u322?owa). Zdaniem organu je\u347?li informacji tej nie mo\u380?na szybko i skutecznie zweryfikowa\u263?, maj\u261?c na wzgl\u281?dzie ryzyko dla praw i wolno\u347?ci os\u243?b fizycznych, sp\u243?\u322?ka powinna bez zb\u281?dnej zw\u322?oki zg\u322?osi\u263? naruszenie organowi nadzorczemu. Tymczasem dopiero po przekazaniu [...] marca 2020 r. wiadomo\u347?ci z dnia [...] marca 2020 r. dyrektorowi [...], w kt\u243?rym to wskazano na obowi\u261?zki prawne ci\u261?\u380?\u261?ce na sp\u243?\u322?ce odno\u347?nie terminu zawiadomienia organu nadzorczego, zar\u243?wno sp\u243?\u322?ka, jak i podmiot przetwarzaj\u261?cy podj\u281?\u322?y zintensyfikowane dzia\u322?ania weryfikacyjne i zaradcze i w dniu [...] marca 2020 r., zesp\u243?\u322? [...] podmiotu przetwarzaj\u261?cego ustali\u322? przyczyny awarii serwera oraz zweryfikowa\u322? wiadomo\u347?\u263? e-mail z [...] marca 2020 r., a inspektor ochrony danych sp\u243?\u322?ki rozpocz\u261?\u322? gromadzenie informacji o naruszeniu. Zw\u322?oka, kt\u243?rej dopu\u347?ci\u322?a si\u281? sp\u243?\u322?ka jako administrator danych, mi\u281?dzy [...] marca 2020 r., a [...] marca 2020 r., kiedy otrzyma\u322?a kolejny sygna\u322? o naruszeniu ([...] poinformowa\u322? j\u261?, \u380?e dosz\u322?o do naruszenia ochrony danych osobowych oraz o adresie IP serwera, kt\u243?rego naruszenie dotyczy), skutkowa\u322?a pobraniem (w dniu [...] marca 2020 r.) przez nieznan\u261? osob\u281? bazy danych sp\u243?\u322?ki.
\par 
\par Zdaniem organu fakt, \u380?e dotychczas tak powa\u380?ne zdarzenia nie mia\u322?y miejsca nie mo\u380?e usypia\u263? czujno\u347?ci administratora i usprawiedliwia\u263? braku odpowiednich dzia\u322?a\u324? z jego strony mi\u281?dzy [...] marca 2020 r. a [...] marca 2020 r. Brak szybkiej reakcji ze strony podmiotu przetwarzaj\u261?cego nie zdejmuje z administratora odpowiedzialno\u347?ci za stwierdzenie naruszenia ochrony danych osobowych, gdy\u380? zdolno\u347?\u263? do wykrywania narusze\u324?, zaradzania im oraz ich terminowego zg\u322?aszania powinna by\u263? postrzegana jako kluczowy element \u347?rodk\u243?w technicznych i organizacyjnych, w tym ka\u380?dej polityki w zakresie bezpiecze\u324?stwa danych.
\par 
\par Organ podkre\u347?li\u322?, \u380?e okoliczno\u347?ci sprawy jednoznacznie wskazuj\u261? na to, \u380?e administrator pobie\u380?nie przeanalizowa\u322? wiadomo\u347?\u263? z dnia [...] marca 2020 r., nie potraktowa\u322? jej z nale\u380?yt\u261? powag\u261? i nie zobligowa\u322? podmiotu przetwarzaj\u261?cego do tego samego. Podj\u281?cie w\u322?a\u347?ciwej analizy i zintensyfikowanego kontaktu z podmiotem przetwarzaj\u261?cym ju\u380? w dniu [...] marca 2020 r., w kt\u243?rym to sp\u243?\u322?ka dowiedzia\u322?a si\u281? o pierwszych nieprawid\u322?owo\u347?ciach, w ocenie organu, pozwoli\u322?yby stwierdzi\u263? naruszenie ochrony danych znacznie szybciej i potencjalnie zminimalizowa\u263? ryzyko dla praw i wolno\u347?ci klient\u243?w sp\u243?\u322?ki, w tym unikn\u261?\u263? zdarzenia, do kt\u243?rego dosz\u322?o [...] marca 2020 r.
\par 
\par Maj\u261?c powy\u380?sze na uwadze, organ stwierdzi\u322?, \u380?e sp\u243?\u322?ka, dokonuj\u261?c oceny pierwszego sygna\u322?u o nieprawid\u322?owo\u347?ciach, nie uwzgl\u281?dni\u322?a ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem danych osobowych wynikaj\u261?cych z przypadkowego udost\u281?pnienia danych osobowych, co stanowi naruszenie art. 32 ust. 2 RODO.
\par 
\par Zdaniem organu zebrany materia\u322? dowodowy stanowi r\u243?wnie\u380? podstaw\u281? do stwierdzenia, \u380?e sp\u243?\u322?ka nie wywi\u261?za\u322?a si\u281? z obowi\u261?zku zapewnienia przetwarzania danych osobowych w spos\u243?b zapewniaj\u261?cy ich odpowiednie bezpiecze\u324?stwo od momentu, w kt\u243?rym uzyska\u322?a pierwszy sygna\u322? o nieprawid\u322?owo\u347?ciach, co stanowi naruszenie zasady poufno\u347?ci wyra\u380?onej w art. 5 ust. 1 lit. f RODO. Nie wdro\u380?y\u322?a r\u243?wnie\u380? odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych maj\u261?cych na celu skuteczn\u261? realizacj\u281? zasady ochrony danych, co stanowi naruszenie art. 25 ust. 1 RODO oraz skuteczne i szybkie stwierdzenie naruszenia, co stanowi naruszenie art. 24 ust. 1 RODO. Wed\u322?ug organu, sp\u243?\u322?ka nie dokonywa\u322?a regularnej oceny skuteczno\u347?ci tych \u347?rodk\u243?w, co stanowi naruszenie art. 32 ust. 1 lit. d RODO. Tym samym mi\u281?dzy [...] a [...] marca 2020 r. swoim dzia\u322?aniem przyczyni\u322?a si\u281? do niezapewnienia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania, co stanowi naruszenie art. 32 ust. 1 lit. b RODO.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e relacja z podmiotem przetwarzaj\u261?cym nie oznacza obowi\u261?zku ci\u261?g\u322?ego monitorowania stosowanych rozwi\u261?za\u324?. Jednak\u380?e, zdaniem Prezesa UODO, istotnym jest by administrator w ramach realizacji obowi\u261?zk\u243?w wynikaj\u261?cych z RODO dokonywa\u322? cyklicznej weryfikacji, czy w u\u380?ywanych rozwi\u261?zaniach technicznych i organizacyjnych nie stwierdzono s\u322?abo\u347?ci mog\u261?cych wp\u322?yn\u261?\u263? na ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, a fakt przetwarzania danych przez podmiot przetwarzaj\u261?cy tej odpowiedzialno\u347?ci z administratora nie zdejmuje. Zdaniem organu stanowi o naruszeniu przez sp\u243?\u322?k\u281? art. 25 ust. 1 RODO. Nieuwzgl\u281?dnienie przez sp\u243?\u322?k\u281? ryzyka zwi\u261?zanego z przetwarzaniem hase\u322? u\u380?ytkownik\u243?w w postaci jawnej stanowi r\u243?wnie\u380? o naruszeniu art. 24 ust. 1, art, 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.
\par 
\par Z tych wszystkich wzgl\u281?d\u243?w Prezes UODO stwierdzi\u322?, \u380?e sp\u243?\u322?ka dopu\u347?ci\u322?a si\u281? naruszenia art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.
\par 
\par Prezes UODO stwierdzi\u322? tak\u380?e, \u380?e nie dopatrzy\u322? si\u281? naruszenia przez sp\u243?\u322?k\u281? art. 33 ust. 1 i art. 34 ust. 1 RODO, kt\u243?re obliguj\u261? administratora do zawiadomienia organu nadzorczego (bez zb\u281?dnej zw\u322?oki) o naruszeniu ochrony danych osobowych, kt\u243?re skutkuje ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych (art. 33 ust. 1) oraz osoby, kt\u243?rej dane dotycz\u261?, o takim naruszeniu (art. 34 ust. 1). Organ poda\u322?, \u380?e na gruncie tych przepis\u243?w nale\u380?y przyj\u261?\u263?, \u380?e pocz\u261?tkiem terminu na zawiadomienie organu nadzorczego (art. 33 ust. 1) i os\u243?b, kt\u243?rych dane dotycz\u261? (art. 34 ust. 1) jest dzie\u324?, w kt\u243?rym stwierdzono naruszenie ochrony danych osobowych. Sp\u243?\u322?ka z op\u243?\u378?nieniem stwierdzi\u322?a naruszenie w dniu [...] marca 2020 r., co nie zdejmuje z niej odpowiedzialno\u347?ci za ryzyko naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?, powsta\u322?e w wyniku op\u243?\u378?nienia stwierdzenia naruszenia. Jednak\u380?e od razu po sp\u243?\u378?nionym stwierdzeniu sp\u243?\u322?ka z pomoc\u261? podmiotu przetwarzaj\u261?cego, rozpocz\u281?\u322?a proces resetowania hase\u322? u\u380?ytkownik\u243?w i podj\u281?\u322?a wszelkie niezb\u281?dne dzia\u322?ania maj\u261?ce na celu sprawne i terminowe zawiadomienie os\u243?b, kt\u243?rych dane dotycz\u261?, w tym wykorzysta\u322?a dost\u281?pne kana\u322?y informacyjne i w spos\u243?b wyczerpuj\u261?cy wykaza\u322?a skuteczno\u347?\u263? dostarczenia zawiadomie\u324?. Z tych powod\u243?w organ umorzy\u322? post\u281?powanie administracyjne w zakresie naruszenia art. 34 ust. 1 RODO, co tym samym nie stanowi podstawy wymiaru administracyjnej kary pieni\u281?\u380?nej.
\par 
\par Organ podni\u243?s\u322?, \u380?e sp\u243?\u322?ce nale\u380?y postawi\u263? zarzuty niedope\u322?nienia obowi\u261?zk\u243?w wynikaj\u261?cych z art. 5 ust. 1 lit. f, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO. Nie spos\u243?b jednak zgodzi\u263? si\u281? ze stanowiskiem sp\u243?\u322?ki, \u380?e jej ewentualna odpowiedzialno\u347?\u263? jako administratora, powinna by\u263? rozpatrywana jedynie w kontek\u347?cie art. 28 ust. 1 RODO i wynika\u263? z odpowiedzi na pytanie, czy gwarancje udzielone administratorowi przez podmiot przetwarzaj\u261?cy by\u322?y wystarczaj\u261?ce, aby uzasadni\u263? skorzystanie z jego us\u322?ug. Oceny tej rzecz jasna, jak wskazuje r\u243?wnie\u380? sp\u243?\u322?ka, nie mo\u380?na dokona\u263? jedynie z perspektywy samego incydentu, ale z perspektywy mo\u380?liwo\u347?ci przewidzenia jego wyst\u261?pienia oraz mo\u380?liwo\u347?ci rozs\u261?dnego stwierdzenia jeszcze przed wyst\u261?pieniem incydentu, \u380?e gwarancje nie s\u261? wystarczaj\u261?ce i nale\u380?y skorzysta\u263? z us\u322?ug innych ekspert\u243?w [...]. S\u322?usznie r\u243?wnie\u380? sp\u243?\u322?ka wskazuje, \u380?e art. 28 ust. 1 RODO wymaga korzystania z podmiot\u243?w przetwarzaj\u261?cych, zapewniaj\u261?cych odpowiednie gwarancje zgodno\u347?ci, nie za\u347? ci\u261?g\u322?ego monitorowania stosowanych przez ten podmiot rozwi\u261?za\u324?. Prezes UODO stwierdzi\u322?, \u380?e z punktu widzenia art. 28 ust. 1 i art. 28 ust. 3 lit. h RODO w zgromadzonym materiale dowodowym nie dopatrzy\u322? si\u281? okoliczno\u347?ci, kt\u243?re pozwoli\u322?yby stwierdzi\u263?, \u380?e [...] [...] nie zapewnia\u322? wystarczaj\u261?cych gwarancji dla bezpiecze\u324?stwa danych osobowych oraz nie udost\u281?pnia\u322? administratorowi wszelkich informacji niezb\u281?dnych do wykazania spe\u322?nienia obowi\u261?zk\u243?w okre\u347?lonych w art. 28 RODO b\u261?d\u378? uniemo\u380?liwia\u322? sp\u243?\u322?ce przeprowadzanie audyt\u243?w, w tym inspekcji. W konsekwencji organ umorzy\u322? post\u281?powanie administracyjne w zakresie naruszenia art. 28 ust. 1 i art. 28 ust. 3 lit. h RODO.
\par 
\par W dalszej kolejno\u347?ci Prezes UODO stwierdzi\u322?, \u380?e w sprawie zaistnia\u322?y przes\u322?anki uzasadniaj\u261?ce na\u322?o\u380?enie na sp\u243?\u322?k\u281? administracyjnej kary pieni\u281?\u380?nej. Na\u322?o\u380?enie administracyjnej kary pieni\u281?\u380?nej na sp\u243?\u322?k\u281? jest konieczne i uzasadnione wag\u261? oraz charakterem i zakresem dokonanych przez sp\u243?\u322?k\u281? narusze\u324?. Organ wyja\u347?ni\u322?, \u380?e stosownie do art. 83 ust. 2 lit. a-k RODO wzi\u261?\u322? pod uwag\u281? wymienione tam przes\u322?anki maj\u261?ce wp\u322?yw na wymiar na\u322?o\u380?onej kary finansowej, m. in. charakter i wag\u281? naruszenia przy uwzgl\u281?dnieniu liczby poszkodowanych os\u243?b. Podkre\u347?li\u322?, \u380?e sp\u243?\u322?ka nie podejmowa\u322?a odpowiednich dzia\u322?a\u324? maj\u261?cych na celu sprawne i szybkie stwierdzenie naruszenia.
\par 
\par Stosownie do tre\u347?ci art. 83 ust. 3 RODO Prezes UODO okre\u347?li\u322? ca\u322?kowit\u261? wysoko\u347?\u263? administracyjnej kary pieni\u281?\u380?nej w kwocie nieprzekraczaj\u261?cej wysoko\u347?ci kary za najpowa\u380?niejsze naruszenie i na podstawie art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a w zw. z art. 83 ust. 3 RODO oraz w zw. z art. 103 u.o.d.o. za naruszenia opisane w sentencji niniejszej decyzji na\u322?o\u380?y\u322? na sp\u243?\u322?k\u281? - stosuj\u261?c \u347?redni kurs euro z [...] stycznia 2020 r. (1 EUR = [...] PLN) - administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w kwocie [...] PLN (co stanowi r\u243?wnowarto\u347?\u263? [...] EUR).
\par 
\par W ocenie organu zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tj. kara b\u281?dzie w tym indywidualnym przypadku skuteczna, odstraszaj\u261?ca i proporcjonalna do stwierdzonego naruszenia, w tym zw\u322?aszcza jego wagi, kr\u281?gu dotkni\u281?tych nim os\u243?b fizycznych oraz ryzyka, jakie w zwi\u261?zku z naruszeniem ponosz\u261?. W przysz\u322?o\u347?ci zapobiegnie naruszeniom przepis\u243?w o ochronie danych osobowych zar\u243?wno przez sp\u243?\u322?k\u281?, jak i innych administrator\u243?w danych osobowych.
\par 
\par Sp\u243?\u322?ka z\u322?o\u380?y\u322?a do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na powy\u380?sz\u261? decyzj\u281? Prezesa UODO z dnia [...] grudnia 2020 r. w zakresie pkt 1.
\par 
\par Zaskar\u380?onej decyzji sp\u243?\u322?ka zarzuci\u322?a:
\par 
\par 1.naruszenie przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 32 RODO, polegaj\u261?ce na zastosowaniu przez organ b\u322?\u281?dnej wyk\u322?adni ww. przepisu i przyj\u281?ciu, \u380?e jego adresatem mo\u380?e by\u263? jedynie administrator danych osobowych, podczas gdy prawid\u322?owa wyk\u322?adnia art. 32 RODO prowadzi do wniosku, \u380?e przepis ten jest adresowany zar\u243?wno do administratora, jak i podmiotu przetwarzaj\u261?cego dane osobowe;
\par 
\par 2.naruszenie przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 6, 7, 8 \u167? 1, art. 77 \u167? 1 oraz art. 80 k.p.a. zw. z art. 7 u.o.d.o., polegaj\u261?ce na pobie\u380?nym, nie za\u347? wyczerpuj\u261?cym i ca\u322?o\u347?ciowym rozpatrzeniu materia\u322?u dowodowego i pomini\u281?ciu dowodu w postaci umowy powierzenia przetwarzania danych osobowych ze sp\u243?\u322?k\u261? [...] oraz [...], a tak\u380?e wyniku audytu podmiotu przetwarzaj\u261?cego, tj. [...] z 2018 r. oraz [...] maja 2020 r., co skutkowa\u322?o b\u322?\u281?dnym przyj\u281?ciem, \u380?e skar\u380?\u261?ca naruszy\u322?a art. 5 ust.1 lit. f, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 RODO;
\par 
\par 3.naruszenie przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 6, 7, 8 \u167? 1, art. 77 \u167? 1 oraz art. 80 k.p.a. w zw. z art. 7 u.o.d.o., polegaj\u261?ce na przekroczeniu granicy swobodnej oceny dowod\u243?w poprzez b\u322?\u281?dne uznanie, \u380?e przyj\u281?ta przez skar\u380?\u261?c\u261? "Procedura zg\u322?aszania naruszenia ochrony danych osobowych" nie stanowi odpowiedniego \u347?rodka organizacyjnego, zapewniaj\u261?cego bezpiecze\u324?stwo przetwarzanych danych osobowych, co w konsekwencji doprowadzi\u322?o do b\u322?\u281?dnego przyj\u281?cia przez organ, \u380?e od [...] maja 2018 r. skar\u380?\u261?ca nie wdro\u380?y\u322?a odpowiednich \u347?rodk\u243?w organizacyjnych i technicznych zapewniaj\u261?cych bezpiecze\u324?stwo przetwarzanych danych osobowych;
\par 
\par 4.naruszenie przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik, tj. art. 6, 7, 8 \u167? 1, art. 77 \u167? 1 oraz art. 80 k.p.a. w zw. z art. 7 u.o.d.o., polegaj\u261?ce na przekroczeniu granicy swobodnej oceny dowod\u243?w poprzez b\u322?\u281?dne uznanie, \u380?e fakt przetwarzania hase\u322? w postaci jawnej przyczyni\u322? si\u281? do omy\u322?kowego udost\u281?pnienia danych klient\u243?w osobom nieuprawnionym, podczas gdy prawid\u322?owa wyk\u322?adnia tego przepisu prowadzi do wniosku odmiennego;
\par 
\par 5. naruszenie przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 6, 7, 8 \u167? 1, art. 77 \u167? 1 oraz art. 80 k.p.a. w zw. z art. 7 u.o.d.o., polegaj\u261?ce na przekroczeniu granicy swobodnej oceny dowod\u243?w, poprzez b\u322?\u281?dne uznanie, \u380?e zgromadzony w toku post\u281?powania materia\u322? dowodowy pozwala\u322? przyj\u261?\u263?, \u380?e reakcja skar\u380?\u261?cej na wiadomo\u347?\u263? o omy\u322?kowym udost\u281?pnieniu danych klient\u243?w skar\u380?\u261?cej nieuprawnionym osobom:
\par 
\par a) nie uwzgl\u281?dnia\u322?a ryzyka wi\u261?\u380?\u261?cego si\u281? z przetwarzaniem danych osobowych wynikaj\u261?cych z przypadkowego udost\u281?pnienia danych osobowych, podczas gdy prawid\u322?owa ocena materia\u322?u dowodowego prowadzi do wniosku zupe\u322?nie odmiennego - dzia\u322?ania podj\u281?te przez skar\u380?\u261?c\u261?, w tym zw\u322?aszcza dok\u322?adne zweryfikowanie informacji otrzymanych od os\u243?b trzecich podyktowane by\u322?y mo\u380?liwo\u347?ci\u261? wyst\u261?pienia ww. ryzyka;
\par 
\par b) przyczyni\u322?a si\u281? do niezapewnienia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci system\u243?w i us\u322?ug przetwarzania, podczas gdy prawid\u322?owa ocena materia\u322?u dowodowego prowadzi do wniosku zupe\u322?nie odmiennego -wszelkie dzia\u322?ania podj\u281?te przez skar\u380?\u261?c\u261? po zidentyfikowaniu ww. nieprawid\u322?owo\u347?ci prowadzi\u322?y do przywr\u243?cenia poufno\u347?ci, integralno\u347?ci oraz odporno\u347?ci wykorzystywanych przez skar\u380?\u261?c\u261? system\u243?w informatycznych.
\par 
\par 6. naruszenie przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 11 k.p.a. w zw. z art. 6, 7, 8 \u167? 1, 77 \u167? 1, 107 \u167? 3 k.p.a. w zw. z art. 7 u.o.d.o., polegaj\u261?ce na oparciu rozstrzygni\u281?cia na wzajemnie wykluczaj\u261?cych si\u281? twierdzeniach, tzn. uznaniu, \u380?e skar\u380?\u261?ca nie wdro\u380?y\u322?a w fazie projektowania procesu przetwarzania jak i w czasie samego przetwarzania odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych:
\par 
\par a) odpowiadaj\u261?cych ryzyku naruszenia zdolno\u347?ci do ci\u261?g\u322?ego zapewniania poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci systemu przetwarzania danych, przy jednoczesnym umorzeniu post\u281?powania administracyjnego wobec skar\u380?\u261?cej w zakresie naruszenia przez ni\u261? art. 24, 28 ust. 1, art. 28 ust. 3 lit. h RODO;
\par 
\par b) zapewniaj\u261?cych zdolno\u347?\u263? skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych, przy jednoczesnym umorzeniu post\u281?powania administracyjnego wobec skar\u380?\u261?cej w zakresie naruszenia przez ni\u261? art. 33 ust. 1 RODO oraz art. 34 ust. 1 RODO.
\par 
\par Zdaniem skar\u380?\u261?cej naruszenie ww. przepis\u243?w post\u281?powania doprowadzi\u322?o do b\u322?\u281?dnego przej\u281?cia przez organ, \u380?e skar\u380?\u261?ca naruszy\u322?a art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d oraz art. 32 ust. 2 RODO.
\par 
\par W przypadku, gdyby S\u261?d ww. zarzut\u243?w nie podzieli\u322? skar\u380?\u261?ca podnios\u322?a zarzuty:
\par 
\par 1. naruszenia przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 1 RODO w zw. z art. 8 k.p.a. w zw. z art. 7 u.o.d.o., polegaj\u261?ce na wymierzeniu skar\u380?\u261?cej kary nieproporcjonalnej, mimo \u380?e art. 83 ust. 1 RODO nakazuje, aby administracyjna kara pieni\u281?\u380?na by\u322?a proporcjonalna;
\par 
\par 2.naruszenia przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 2 lit. a RODO, polegaj\u261?ce na zastosowaniu przez organ b\u322?\u281?dnej wyk\u322?adni ww. przepisu, zgodnie z kt\u243?r\u261?:
\par 
\par a) sama mo\u380?liwo\u347?\u263? poniesienia szkody przez osoby dotkni\u281?te naruszeniem ochrony danych osobowych;
\par 
\par b) z\u322?a wola osoby trzeciej, kt\u243?ra w spos\u243?b nieuprawniony uzyska\u322?a dost\u281?p do danych osobowych;
\par 
\par c) nieznajomo\u347?\u263? celu, dla kt\u243?rego osoba nieuprawniona podj\u281?\u322?a dzia\u322?ania skutkuj\u261?ce wyst\u261?pieniem naruszenia ochrony danych osobowych
\par 
\par - stanowi\u261? okoliczno\u347?ci, kt\u243?re zaostrzaj\u261? wymiar kary, podczas gdy prawid\u322?owa interpretacja tego przepisu prowadzi do wniosku, \u380?e okoliczno\u347?ci\u261? zaostrzaj\u261?c\u261? wymiar kary mo\u380?e by\u263? poniesienie szkody przez ww. osoby (co nie mia\u322?o miejsca w przedmiotowej sprawie), nie za\u347? sama mo\u380?liwo\u347?\u263? jej poniesienia. Natomiast okoliczno\u347?ci wskazane w pkt 8 lit. b i c nie stanowi\u261? przes\u322?anek zastosowania ww. przepisu;
\par 
\par 3. naruszenia przepis\u243?w prawa materialnego, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, tj. art. 83 ust. 2 lit. b RODO polegaj\u261?ce na zastosowaniu przez organ b\u322?\u281?dnej wyk\u322?adni ww. przepisu i przyj\u281?cie, \u380?e nieumy\u347?lny charakter naruszenia stanowi okoliczno\u347?\u263? zaostrzaj\u261?c\u261? wymiar kary, podczas gdy prawid\u322?owa interpretacja tego przepisu prowadzi do wniosku, \u380?e jest to okoliczno\u347?\u263? \u322?agodz\u261?ca wymiar kary;
\par 
\par 4. naruszenia przepis\u243?w prawa materialnego, tj. art. 83 ust. 2 lit. k RODO, kt\u243?re mia\u322?o wp\u322?yw na wynik sprawy, poprzez jego niezastosowanie, w sytuacji gdy w przedmiotowej sprawie wyst\u261?pi\u322?y okoliczno\u347?ci \u322?agodz\u261?ce, kt\u243?re powinny zosta\u263? uwzgl\u281?dnione przez organ przy wymierzaniu kary, tj.:
\par 
\par a) pe\u322?na wsp\u243?\u322?praca z organem podczas post\u281?powania administracyjnego w przedmiotowej sprawie, kt\u243?r\u261? sam organ oceni\u322? jako dobr\u261?;
\par 
\par b) liczne dzia\u322?ania podj\u281?te przez skar\u380?\u261?c\u261? maj\u261?ce na celu usuni\u281?cie naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w, w tym zw\u322?aszcza przes\u322?anie do klient\u243?w skar\u380?\u261?cej wyczerpuj\u261?cych komunikat\u243?w o naruszeniu;
\par 
\par c) zawiadomienie Prokuratury Okr\u281?gowej [...] o podejrzeniu pope\u322?nienia przest\u281?pstwa;
\par 
\par 5. naruszenia przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 6, 7, 8 \u167? 1, art. 77 \u167? 1 oraz art. 80 k.p.a. w zw. z art. 107 \u167? 3 k.p.a. w zw. z art. 7 u.o.d.o., polegaj\u261?ce na przekroczeniu granicy swobodnej oceny dowod\u243?w poprzez b\u322?\u281?dne przyj\u281?cie, \u380?e zgromadzony w toku post\u281?powania materia\u322? dowodowy pozwala uzna\u263?, \u380?e stopie\u324? odpowiedzialno\u347?ci skar\u380?\u261?cej za przedmiotowe naruszenie by\u322? wysoki, podczas gdy fakt zawarcia przez skar\u380?\u261?c\u261? um\u243?w powierzenia przetwarzania danych osobowych z profesjonalnymi podmiotami z bran\u380?y IT, tj. [...] oraz [...], celem zapewnienia prawid\u322?owej i profesjonalnej konfiguracji serwer\u243?w, na kt\u243?rych by\u322?y przechowywane dane osobowe klient\u243?w skar\u380?\u261?cej, powinien doprowadzi\u263? organ do wniosku, \u380?e w niniejszej sprawie nie mo\u380?na m\u243?wi\u263? o odpowiedzialno\u347?ci skar\u380?\u261?cej za zaistnia\u322?e naruszenie;
\par 
\par 6. naruszenia przepis\u243?w post\u281?powania, maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 6, 7, 8 w zw. z art. 77 \u167? 1 k.p.a. w zw. z art. 80 k.p.a. w zw. z art. 7 u.o.d.o., poprzez prowadzenie przez organ post\u281?powania w spos\u243?b nieobiektywny, nakierowany na tez\u281? z g\u243?ry nakre\u347?lon\u261? z wy\u322?\u261?cznie po\u380?\u261?danego elementu obiektywno\u347?ci procesowej, w postaci nieuwzgl\u281?dnienia udowodnionych przez skar\u380?\u261?c\u261? okoliczno\u347?ci \u322?agodz\u261?cych wymiar kary; brak wy\u322?\u261?czenia subiektywnej oceny ca\u322?okszta\u322?tu dowodowego przez organ prowadzi jednoznacznie do naruszenia fundamentalnej zasady swobodnej oceny dowod\u243?w, co na gruncie przedmiotowej sprawy w efekcie nast\u261?pi\u322?o.
\par 
\par Wobec powy\u380?szego skar\u380?\u261?ca wnios\u322?a o uchylenie pkt 1 zaskar\u380?onej decyzji i umorzenie post\u281?powania w sprawie. Nadto wnios\u322?a o dopuszczenie dowod\u243?w wskazanych w uzasadnieniu skargi oraz o zas\u261?dzenie koszt\u243?w post\u281?powania wed\u322?ug norm przepisanych, w tym koszt\u243?w zast\u281?pstwa prawnego.
\par 
\par Prezes UODO w odpowiedzi na skarg\u281? wni\u243?s\u322? o jej oddalenie.
\par 
\par W dniu 5 pa\u378?dziernika 2021 r. S\u261?d pierwszej instancji wyda\u322? opisany na wst\u281?pie niniejszego wyrok, uchylaj\u261?c zaskar\u380?on\u261? decyzj\u281? w pkt 1 (na podstawie art. 145 \u167? 1 pkt 1 lit. a i c ustawy z dnia 30 sierpnia 2002 r. \u8211? Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi; tekst jedn. Dz. U. z 2019 r., poz. 2325 ze zm.; dalej jako "P.p.s.a.") i zas\u261?dzaj\u261?c na rzecz skar\u380?\u261?cej zwrot koszt\u243?w post\u281?powania.
\par 
\par W uzasadnieniu wydanego wyroku S\u261?d meriti wskaza\u322?, \u380?e zaskar\u380?on\u261? decyzj\u261? organ na\u322?o\u380?y\u322? na sp\u243?\u322?k\u281? \u8211? administratora danych osobowych, kar\u281? pieni\u281?\u380?n\u261? za naruszenie okre\u347?lonych w tej decyzji przepis\u243?w RODO prowadz\u261?ce do wywo\u322?ania zagro\u380?enia polegaj\u261?cego na stworzeniu niekontrolowanego dost\u281?pu os\u243?b trzecich do przetwarzanych danych, wskutek b\u322?\u281?du pope\u322?nionego przez pracownika podmiotu przetwarzaj\u261?cego ([...]), w zwi\u261?zku z resetowaniem serwera, na kt\u243?rym przechowywano dane. B\u322?\u261?d ten polega\u322? na nieprawid\u322?owej konfiguracji zapory sieciowej zresetowanego serwera (tzw. [...]), skutkuj\u261?cej niew\u322?\u261?czeniem tej zapory i tym samym pozbawieniem serwera ochrony. Zdaniem organu zasadnicz\u261? przyczyn\u261? uzasadniaj\u261?c\u261? postawienie administratorowi danych zarzutu naruszenia jego obowi\u261?zk\u243?w maj\u261?cych na celu zapewnienie bezpiecze\u324?stwa danych osobowych by\u322?a zw\u322?oka administratora danych w podj\u281?ciu szybkiego i skutecznego dzia\u322?ania prowadz\u261?cego do stwierdzenia naruszenia ochrony, daj\u261?cego mo\u380?liwo\u347?\u263? zapobie\u380?enia albo ograniczenia skutk\u243?w tego naruszenia. Organ rozwa\u380?a\u322? naruszenie zwi\u261?zanych z t\u261? zw\u322?ok\u261?, okre\u347?lonych w decyzji przepis\u243?w prawnych jedynie w stosunku do administratora danych i w konsekwencji temu podmiotowi (skar\u380?\u261?cej) przypisa\u322? ca\u322?\u261? odpowiedzialno\u347?\u263? za stwierdzone naruszenie, poniewa\u380? w jego ocenie brak szybkiej reakcji podmiotu przetwarzaj\u261?cego na informacj\u281? o prawdopodobnym naruszeniu nie zdejmuje z administratora odpowiedzialno\u347?ci za stwierdzenie naruszenia ochrony danych osobowych.
\par 
\par W ocenie S\u261?du meriti rozwa\u380?enie zasadniczej w tej sprawie kwestii ewentualnego roz\u322?o\u380?enia ci\u281?\u380?aru odpowiedzialno\u347?ci podmiot\u243?w bior\u261?cych udzia\u322? w procesie przetwarzania danych osobowych (administratora danych i podmiotu przetwarzaj\u261?cego) wymaga ustalenia zakresu przypisanych ka\u380?demu z nich, okre\u347?lonych w rozporz\u261?dzeniu obowi\u261?zk\u243?w zwi\u261?zanych z przetwarzaniem. Jest oczywiste, \u380?e gdy administrator danych przetwarzaj\u261?c dane osobowe nie korzysta z us\u322?ug innego podmiotu \u8211? podmiotu przetwarzaj\u261?cego, na nim spoczywa pe\u322?na odpowiedzialno\u347?\u263? za przestrzeganie przepis\u243?w maj\u261?cych zapewnia\u263? bezpiecze\u324?stwo tych danych. Inaczej wygl\u261?da sytuacja, je\u380?eli w procesie przetwarzania danych bior\u261? udzia\u322? dwa podmioty: administrator i podmiot przetwarzaj\u261?cy.
\par 
\par S\u261?d pierwszej instancji wyja\u347?ni\u322?, \u380?e podmiot przetwarzaj\u261?cy, to w rozumieniu art. 4 pkt 8 RODO osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, kt\u243?ry przetwarza dane osobowe w imieniu administratora. Administrator mo\u380?e wi\u281?c pos\u322?u\u380?y\u263? si\u281? zast\u281?pc\u261?, kt\u243?ry wykonuje za niego, w jego imieniu czynno\u347?ci przetwarzania. Zast\u281?pca (reprezentant) administratora jest odr\u281?bnym podmiotem prawa, dzia\u322?aj\u261?cym za reprezentowanego, na podstawie umocowania udzielonego w zawartej z administratorem umowie o powierzeniu przetwarzania. Je\u380?eli czynno\u347?ci przetwarzania wykonuje podmiot przetwarzaj\u261?cy, a nie administrator, to co do zasady do dzia\u322?ania tego zast\u281?pcy nale\u380?a\u322?oby odnosi\u263? przepisy okre\u347?laj\u261?ce obowi\u261?zki zwi\u261?zane z przetwarzaniem. Rozporz\u261?dzenie rozk\u322?ada jednak\u380?e te obowi\u261?zki pomi\u281?dzy administratora i podmiot przetwarzaj\u261?cy, co oznacza, \u380?e administrator powierzaj\u261?c przetwarzanie danych innemu podmiotowi nie jest zwolniony ca\u322?kowicie z odpowiedzialno\u347?ci za niedope\u322?nienie prawnych wymaga\u324? dotycz\u261?cych przetwarzania. Przepisy rozporz\u261?dzenia kieruj\u261? niekt\u243?re obowi\u261?zki do administratora danych (art. 5 ust. 2), inne za\u347? s\u261? adresowane jednocze\u347?nie do administratora i do podmiotu przetwarzaj\u261?cego (art. 32 ust. 1 i 2). Ponadto podmiot przetwarzaj\u261?cy ma odr\u281?bne obowi\u261?zki w tym zakresie (art. 28 RODO). Co prawda, te obowi\u261?zki podmiotu przetwarzaj\u261?cego powinny by\u263? umieszczone w zawartej mi\u281?dzy stronami umowie o przetwarzanie danych. Niemniej jednak obligatoryjne dla stron wprowadzenie ich do umowy nie odbiera im charakteru publicznoprawnego, nie czyni obowi\u261?zkami wy\u322?\u261?cznie obligacyjnymi, co ma oczywi\u347?cie zasadnicze znaczenie dla okre\u347?lenia odpowiedzialno\u347?ci za ich naruszenie i co znajduje potwierdzenie w art. 83 ust. 4 lit. a RODO.
\par 
\par S\u261?d meriti podkre\u347?li\u322?, \u380?e podmiot przetwarzaj\u261?cy jest obowi\u261?zany do wsp\u243?\u322?dzia\u322?ania z administratorem, a nawet do udzielania mu pomocy w wywi\u261?zywaniu si\u281? z jego obowi\u261?zk\u243?w okre\u347?lonych w art. 32-36 (art. 28 RODO). Na\u322?o\u380?enie zar\u243?wno na administratora, jak i na podmiot przetwarzaj\u261?cy do\u347?\u263? og\u243?lnego obowi\u261?zku zapewnienia bezpiecze\u324?stwa danych (art. 32 ust. 1) nie implikuje oczywi\u347?cie konieczno\u347?ci podejmowania przez te podmioty dzia\u322?a\u324? tego samego rodzaju i nie rodzi po ich stronie odpowiedzialno\u347?ci za naruszenia, niezale\u380?nie od tego, kt\u243?remu z nich mo\u380?na je przypisa\u263?. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzania danych i solidarnej odpowiedzialno\u347?ci za naruszenie tych obowi\u261?zk\u243?w.
\par 
\par Zdaniem S\u261?du pierwszej instancji punktem odniesienia dla konkretyzacji obowi\u261?zk\u243?w kierowanych do administratora i do podmiotu przetwarzaj\u261?cego (np. art. 32 ust. 1 RODO) s\u261? ich prawnie wyznaczone funkcje. W ocenie S\u261?du meriti w przypadku powierzenia przetwarzania danych podmiotowi przetwarzaj\u261?cemu egzekwowanie odpowiedzialno\u347?ci za naruszenia powsta\u322?e w procesie przetwarzania nie mo\u380?e nie bra\u263? pod uwag\u281? obowi\u261?zk\u243?w obu podmiot\u243?w uczestnicz\u261?cych w przetwarzaniu i nie uwzgl\u281?dnia\u263? ich indywidualnego przyczynienia si\u281? do powstania naruszenia. \u346?wiadcz\u261? o tym r\u243?wnie\u380? okre\u347?lone w rozporz\u261?dzeniu zasady nak\u322?adania administracyjnych kar pieni\u281?\u380?nych za naruszenie przepis\u243?w rozporz\u261?dzenia (art. 83). Tej odpowiedzialno\u347?ci administracyjnej podlegaj\u261? administrator danych i podmiot przetwarzaj\u261?cy. Jedna z dyrektyw nak\u322?adania tych kar stanowi, \u380?e podj\u281?cie decyzji o na\u322?o\u380?eniu kary i ustaleniu jej wysoko\u347?ci wymaga zwr\u243?cenia uwagi w ka\u380?dym indywidualnym przypadku na stopie\u324? odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego, z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych organizacyjnych wdro\u380?onych przez nich na mocy art. 25 i 32 RODO (art. 83 ust. 2 lit. d).
\par 
\par Odnosz\u261?c si\u281? do zasadniczej kwestii sp\u243?\u378?nionego podj\u281?cia dzia\u322?a\u324? zmierzaj\u261?cych do stwierdzenia naruszenia ochrony danych osobowych, S\u261?d pierwszej instancji zauwa\u380?y\u322?, \u380?e przepisy rozporz\u261?dzenia nie formu\u322?uj\u261? wprost prawnego obowi\u261?zku podj\u281?cia dzia\u322?a\u324? zmierzaj\u261?cych do niezw\u322?ocznego stwierdzenia takiego naruszenia. Rozporz\u261?dzenie stanowi jedynie o obowi\u261?zku administratora i podmiotu przetwarzaj\u261?cego niezw\u322?ocznego zawiadomienia o stwierdzonym naruszeniu ochrony danych osobowych. Administrator bez zb\u281?dnej zw\u322?oki zawiadamia o stwierdzonym naruszeniu organ nadzorczy (art. 33 ust. 1). Natomiast podmiot przetwarzaj\u261?cy po stwierdzeniu naruszenia ochrony danych bez zb\u281?dnej zw\u322?oki zg\u322?asza je administratorowi (art. 33 ust. 2). Organ wywi\u243?d\u322? obowi\u261?zek doprowadzenia do niezw\u322?ocznego stwierdzenia naruszenia ochrony danych osobowych, m. in. z tre\u347?ci art. 32 ust. 1 i 2 rozporz\u261?dzenia, przypisuj\u261?c go jednak wy\u322?\u261?cznie administratorowi danych.
\par 
\par Tymczasem, wed\u322?ug S\u261?du pierwszej instancji, z tych przepis\u243?w wynika, \u380?e dotycz\u261? one zar\u243?wno administratora, jak i podmiotu przetwarzaj\u261?cego, co dodatkowo potwierdza art. 28 ust. 3 lit. c RODO. Co wi\u281?cej, art. 28 ust. 3 lit. f nakazuje podmiotowi przetwarzaj\u261?cemu udzielenie pomocy administratorowi danych w zakresie wykonywania przez administratora jego obowi\u261?zk\u243?w okre\u347?lonych w art. 32 \u8211? 36. Oznacza to, \u380?e podmiot przetwarzaj\u261?cy ma nie tylko w\u322?asny obowi\u261?zek podj\u281?cia dzia\u322?a\u324? zmierzaj\u261?cych do niezw\u322?ocznego stwierdzenia naruszenia ochrony danych, ale jest r\u243?wnie\u380? obowi\u261?zany do wspierania administratora w jego poczynaniach maj\u261?cych r\u243?wnie\u380? na celu stwierdzenie naruszenia ochrony bez zb\u281?dnej zw\u322?oki.
\par 
\par W \u347?wietle przedstawionego stanu prawnego, wed\u322?ug S\u261?du pierwszej instancji, postawienie zarzutu niedope\u322?nienia obowi\u261?zku niezw\u322?ocznego stwierdzenia naruszenia ochrony danych osobowych tylko jednemu z dw\u243?ch podmiot\u243?w uczestnicz\u261?cych w przetwarzaniu danych by\u322?oby wi\u281?c uzasadnione, gdyby powstanie naruszenia nie mia\u322?o \u380?adnego zwi\u261?zku z dzia\u322?aniem lub zaniechaniem drugiego z nich. Zdaniem S\u261?du meriti okoliczno\u347?ci faktyczne sprawy nie daj\u261? podstaw do postawienia zarzut\u243?w naruszenia obowi\u261?zk\u243?w wskazanych w zaskar\u380?onej decyzji wy\u322?\u261?cznie administratorowi danych i w konsekwencji na\u322?o\u380?enia na niego kary pieni\u281?\u380?nej.
\par 
\par S\u261?d pierwszej instancji podkre\u347?li\u322?, \u380?e naruszenie ochrony polega\u322?o na stworzeniu mo\u380?liwo\u347?ci nieuprawnionego dost\u281?pu do danych b\u281?d\u261?cych w dyspozycji podmiotu przetwarzaj\u261?cego, wskutek b\u322?\u281?du pracownika tego podmiotu, polegaj\u261?cego na niew\u322?\u261?czeniu zapory sieciowej zresetowanego serwera. Sta\u322?o si\u281? to w dniu [...] lutego 2020 r. Naruszenie przez nieuprawione udost\u281?pnienie danych nie mia\u322?o zatem bezpo\u347?redniego zwi\u261?zku z dzia\u322?aniem lub zaniechaniem administratora danych, administrator nie mia\u322? bezpo\u347?redniego wp\u322?ywu na powstanie naruszenia. Organ nie wykaza\u322? te\u380?, \u380?e administrator danych m\u243?g\u322? swoimi konkretnymi dzia\u322?aniami zapobiec temu zdarzeniu. Je\u380?eli zatem organ uzna\u322?, \u380?e stwierdzenie naruszenia by\u322?o sp\u243?\u378?nione, to to op\u243?\u378?nienie nie by\u322?o przyczyn\u261? naruszenia, lecz przyczyn\u261? powstania szkody (kradzie\u380?y danych) w czasie pomi\u281?dzy powstaniem naruszenia ([...] lutego) a stwierdzeniem, \u380?e naruszenie powsta\u322?o ([...] marca 2020 r.).
\par 
\par Zdaniem S\u261?du pierwszej instancji ustalone w post\u281?powaniu administracyjnym fakty rzeczywi\u347?cie wskazuj\u261?, \u380?e pomi\u281?dzy uzyskaniem przez administratora pierwszej informacji o prawdopodobnym naruszeniu ochrony danych ([...] marca 2020 r.), a stwierdzeniem przez ten podmiot naruszenia i ustaleniem jego \u378?r\u243?d\u322?a ([...] marca 2020 r.) up\u322?yn\u281?\u322?o kilkana\u347?cie dni. W tym czasie ([...] marca 2020 r.) dane, pozbawione ochrony (zabezpieczenia), zosta\u322?y pobrane i usuni\u281?te z serwera przez nieuprawniony podmiot zewn\u281?trzny. Jest zatem bardzo prawdopodobne, \u380?e szybsze stwierdzenie naruszenia mog\u322?oby zapobiec "wyciekowi" tych danych i powstaniu zwi\u261?zanej z tym szkody. Istotne znaczenie dla obci\u261?\u380?enia kt\u243?regokolwiek z podmiot\u243?w odpowiedzialno\u347?ci\u261? za to op\u243?\u378?nienie maj\u261? zdarzenia przypadaj\u261?ce w okresie pomi\u281?dzy [...] a [...] marca 2020 r., wymagaj\u261?ce oceny uwzgl\u281?dniaj\u261?cej prawny kontekst ca\u322?ej tej sytuacji.
\par 
\par W ocenie S\u261?du pierwszej instancji wydaje si\u281? oczywiste, \u380?e ze wzgl\u281?du na to, \u380?e naruszenie nast\u261?pi\u322?o w procesie przetwarzania danych przez podmiot przetwarzaj\u261?cy, wskutek b\u322?\u281?du jego pracownika, przede wszystkim ten podmiot mia\u322? najwi\u281?ksze mo\u380?liwo\u347?ci, przy prawid\u322?owym wykonywaniu swych obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzanych danych, wynikaj\u261?cych z art. 32 w zwi\u261?zku z art. 28 ust. 3 lit. c RODO, doprowadzenia do niezw\u322?ocznego stwierdzenia naruszenia i powiadomienia administratora danych o naruszeniu. S\u261?d meriti zauwa\u380?y\u322?, \u380?e organ rozpatruj\u261?c kwesti\u281? naruszenia przez administratora art. 28 ust. 1 i ust. 3 lit. h RODO umorzy\u322? post\u281?powanie w tym zakresie, poniewa\u380? nie dopatrzy\u322? si\u281? po stronie administratora b\u322?\u281?du w wyborze podmiotu przetwarzaj\u261?cego dane.
\par 
\par Wed\u322?ug S\u261?du meriti nie ma podstaw do przypisania administratorowi danych sprawstwa za powstanie naruszenia (spowodowania niekontrolowanego dost\u281?pu do danych) ani do postawienia temu podmiotowi zarzutu spowodowania wy\u322?\u261?cznie swoim zachowaniem op\u243?\u378?nienia w stwierdzeniu naruszenia ochrony danych osobowych. Je\u380?eli bowiem ju\u380? [...] marca 2020 r., po ponownym zresetowaniu serwera, przetwarzaj\u261?cy nie dokona\u322? poprawnego jego zabezpieczenia, to ten jego b\u322?\u261?d oboj\u281?tnie czy niezauwa\u380?ony czy zlekcewa\u380?ony, ca\u322?kowicie obci\u261?\u380?a podmiot przetwarzaj\u261?cy. Administrator danych, nie posiadaj\u261?c organizacyjnych czy technicznych mo\u380?liwo\u347?ci prawid\u322?owego, zgodnego z wymogami prawnymi przetwarzania danych, powierzy\u322? te czynno\u347?ci innemu podmiotowi, wyspecjalizowanemu w tej materii. Niejako wyr\u281?czy\u322? si\u281? w tym zakresie podmiotem przetwarzaj\u261?cym. Dokonuj\u261?c prawid\u322?owego (niezakwestionowanego przez organ nadzoru) wyboru tego podmiotu, m\u243?g\u322? mie\u263? wi\u281?c zaufanie do jego dzia\u322?ania, wsparte znajomo\u347?ci\u261? ci\u261?\u380?\u261?cych na nim obowi\u261?zk\u243?w okre\u347?lonych w RODO oraz wynikaj\u261?cych z umowy o powierzenie przetwarzania danych. Moc\u261? tej umowy podmiot przetwarzaj\u261?cy zobowi\u261?za\u322? si\u281? wobec administratora danych m.in. do stosowania odpowiednich technicznych, fizycznych oraz organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa w celu ochrony powierzonych danych, sprawowania nadzoru nad bezpiecze\u324?stwem danych przez ca\u322?y okres ich powierzenia i wreszcie do zg\u322?aszania administratorowi bez zb\u281?dnej zw\u322?oki faktycznego lub podejrzanego naruszenia ochrony danych (\u167? 3 ust. 1 lit a i b, ust. 2 pkt 9 umowy).
\par 
\par W ocenie S\u261?du meriti dokonanie prawid\u322?owego wyboru podmiotu przetwarzaj\u261?cego dane nie zwalnia administratora ca\u322?kowicie z obowi\u261?zk\u243?w zwi\u261?zanych z przetwarzaniem danych i z odpowiedzialno\u347?ci za ich naruszenie. Nie pozwala jednak na egzekwowanie od administratora ca\u322?ej odpowiedzialno\u347?ci za naruszenie przepis\u243?w prawa prowadz\u261?cych do naruszenia ochrony danych osobowych, powsta\u322?ego z przyczyn le\u380?\u261?cych po stronie podmiotu przetwarzaj\u261?cego. Zgadzaj\u261?c si\u281? z organem, \u380?e administrator nie wykaza\u322? si\u281? znacz\u261?c\u261? aktywno\u347?ci\u261? w dzia\u322?aniach zmierzaj\u261?cych do zweryfikowania informacji o prawdopodobnym naruszeniu ochrony danych osobowych, S\u261?d pierwszej instancji zauwa\u380?y\u322?, \u380?e jego mo\u380?liwo\u347?ci dzia\u322?ania by\u322?y ograniczone, poza wywieraniem nacisku na podmiot przetwarzaj\u261?cy. Nie wydaje si\u281? bowiem, aby administrator mia\u322? techniczne, czy organizacyjne mo\u380?liwo\u347?ci, pozwalaj\u261?ce mu na w\u322?asn\u261? r\u281?k\u281? skontrolowa\u263? funkcjonowanie zabezpiecze\u324? serwera, z kt\u243?rego wyciek\u322?y dane. Ponadto administrator informowa\u322? w ramach wyja\u347?nie\u324? sk\u322?adanych organowi nadzoru o utrzymywaniu sta\u322?ego kontaktu z podmiotem przetwarzaj\u261?cym po pojawieniu si\u281? informacji o wycieku danych.
\par 
\par Zdaniem S\u261?du meriti naruszenie ochrony danych nast\u261?pi\u322?o z przyczyn le\u380?\u261?cych po stronie podmiotu przetwarzaj\u261?cego. Naruszeniem w rozumieniu art. 4 pkt 12 RODO jest bowiem stworzenie nieuprawionego dost\u281?pu do danych, a to nast\u261?pi\u322?o wskutek b\u322?\u281?du pracownika podmiotu przetwarzaj\u261?cego. Organ w \u380?aden spos\u243?b nie wykaza\u322?, \u380?e istnieje zwi\u261?zek przyczynowo - skutkowy pomi\u281?dzy tym b\u322?\u281?dem, a zarzucanym administratorowi naruszeniem obowi\u261?zk\u243?w wskazanych w decyzji o na\u322?o\u380?eniu kary administracyjnej, kt\u243?re wed\u322?ug tego, co ju\u380? powiedziano nale\u380?y interpretowa\u263? zgodne z funkcj\u261? administratora jako podmiotu ustalaj\u261?cego cele i sposoby przetwarzania danych. Rozumowanie organu sprowadza si\u281? do przyporz\u261?dkowania (subsumcji) ustalonego stanu faktycznego, ograniczonego do dzia\u322?ania administratora pod okre\u347?lone przepisy rozporz\u261?dzenia, reguluj\u261?ce obowi\u261?zki zwi\u261?zane z przetwarzaniem danych osobowych, z pomini\u281?ciem faktu, \u380?e te przepisy odnosz\u261? si\u281? nie tylko do administratora danych i \u380?e ze stanu faktycznego wynika oczywisty udzia\u322? podmiotu przetwarzaj\u261?cego w powstaniu naruszenia ochrony danych osobowych. Przypisana administratorowi opiesza\u322?o\u347?\u263? w stwierdzeniu naruszenia ochrony danych mog\u322?a si\u281? ewentualnie przyczyni\u263? do powstania szkody w wyniku powsta\u322?ego naruszenia, a nie do powstania samego naruszenia.
\par 
\par W konsekwencji, S\u261?d pierwszej instancji uzna\u322? za uzasadnione zarzuty skargi, dotycz\u261?ce naruszenia przepis\u243?w post\u281?powania, polegaj\u261?ce na niepe\u322?nym zebraniu, rozpatrzeniu i b\u322?\u281?dnej ocenie materia\u322?u dowodowego w sprawie (art. 7, art. 7a \u167? 1, art. 8 \u167? 1, art. 77 \u167? 1, art. 81 a \u167? 1 oraz art. 80 k.p.a.). Organ naruszy\u322? r\u243?wnie\u380? przepisy prawa materialnego \u8211? art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 oraz art. 83 ust. 1 i ust. 2 lit. d RODO, wymierzaj\u261?c skar\u380?\u261?cej kar\u281? bez uwzgl\u281?dniania wszystkich okoliczno\u347?ci rozpoznawanego przypadku. Nie wzi\u261?\u322? pod uwag\u281? roli podmiotu przetwarzaj\u261?cego w powstaniu naruszenia ochrony danych osobowych i tym samym wymierzy\u322? administratorowi kar\u281? administracyjn\u261? z pomini\u281?ciem zasady proporcjonalno\u347?ci kary w stosunku do stopnia odpowiedzialno\u347?ci administratora danych i podmiotu przetwarzaj\u261?cego.
\par 
\par Organ zaskar\u380?y\u322? w ca\u322?o\u347?ci wyrok Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z dnia 5 pa\u378?dziernika 2021 r. zarzucaj\u261?c:
\par 
\par 1. naruszenie przepis\u243?w post\u281?powania, tj. art. 145 \u167? 1 pkt 1 lit. c) P.p.s.a. w zw. z art. 7, art. 7a \u167? 1, art. 8 \u167? 1, art. 77 \u167? 1, art. 81a \u167? 1 oraz art. 80 k.p.a. wobec b\u322?\u281?dnego uznania, i\u380? Prezes UODO przy dokonywaniu oceny zgromadzonego materia\u322?u dowodowego w sprawie nie uwzgl\u281?dni\u322? faktu, i\u380? wyst\u261?pienie przedmiotowego naruszenia ochrony danych osobowych spowodowane by\u322?o jedynie po stronie podmiotu przetwarzaj\u261?cego, podczas gdy prawid\u322?owa analiza materia\u322?u dowodowego powinna prowadzi\u263? do wniosku, \u380?e [...] Sp. z o.o. w [...] z siedzib\u261? w [...] przy ul. [...], nie dope\u322?ni\u322? ci\u261?\u380?\u261?cych na nim obowi\u261?zk\u243?w, co mia\u322?o istotny wp\u322?yw na wynik sprawy, skutkuj\u261?cy uchyleniem przez S\u261?d decyzji w pkt 1;
\par 
\par 2. naruszenie przepis\u243?w prawa materialnego, tj. art. 5 ust. 1 lit. f, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 oraz art. 83 ust. 1 i ust. 2 lit. d RODO, poprzez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281?, polegaj\u261?c\u261? na przyj\u281?ciu, i\u380? Prezes UODO dokona\u322? procesu miarkowania administracyjnej kary pieni\u281?\u380?nej z pomini\u281?ciem zasady proporcjonalno\u347?ci kary w stosunku do stopnia odpowiedzialno\u347?ci administratora danych i podmiotu przetwarzaj\u261?cego, co w konsekwencji doprowadzi\u322?o do uchylenia decyzji.
\par 
\par Wskazuj\u261?c na powy\u380?sze zarzuty, organ wni\u243?s\u322? o uchylenie zaskar\u380?onego orzeczenia w ca\u322?o\u347?ci, ewentualnie o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci i przekazanie sprawy do ponownego rozpoznania Wojew\u243?dzkiemu S\u261?dowi Administracyjnemu w Warszawie. Ponadto organ wni\u243?s\u322? o rozpoznanie skargi kasacyjnej na rozprawie oraz o zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania s\u261?dowego.
\par 
\par W uzasadnieniu skargi kasacyjnej organ przedstawi\u322? argumentacj\u281? maj\u261?c\u261? wykaza\u263? zasadno\u347?\u263? podniesionych zarzut\u243?w.
\par 
\par W odpowiedzi na skarg\u281? kasacyjn\u261? pe\u322?nomocnik sp\u243?\u322?ki wni\u243?s\u322? o jej oddalenie i zas\u261?dzenie koszt\u243?w post\u281?powania wg norm przepisanych. Wni\u243?s\u322? r\u243?wnie\u380? o rozpoznanie skargi kasacyjnej na rozprawie.
\par 
\par Naczelny S\u261?d Administracyjny zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Stosownie do art. 183 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (tekst jedn. Dz. U. z 2024 r., poz. 935 ze zm.), dalej jako "P.p.s.a.", Naczelny S\u261?d Administracyjny rozpoznaje spraw\u281? w granicach skargi kasacyjnej, bior\u261?c pod rozwag\u281? z urz\u281?du jedynie niewa\u380?no\u347?\u263? post\u281?powania. W rozpoznawanej sprawie nie zachodzi \u380?adna z okoliczno\u347?ci skutkuj\u261?cych niewa\u380?no\u347?ci\u261? post\u281?powania, o jakich mowa w art. 183 \u167? 2 P.p.s.a. i nie zachodzi \u380?adna z przes\u322?anek, o kt\u243?rych mowa w art. 189 P.p.s.a., kt\u243?re Naczelny S\u261?d Administracyjny rozwa\u380?a z urz\u281?du dokonuj\u261?c kontroli zaskar\u380?onego skarg\u261? kasacyjn\u261? wyroku.
\par 
\par Zgodnie z art. 184 P.p.s.a. Naczelny S\u261?d Administracyjny oddala skarg\u281? kasacyjn\u261?, je\u380?eli nie ma usprawiedliwionych podstaw albo je\u380?eli zaskar\u380?one orzeczenie mimo b\u322?\u281?dnego uzasadnienia odpowiada prawu. W \u347?wietle powo\u322?anego przepisu Naczelny S\u261?d Administracyjny oddala skarg\u281? kasacyjn\u261? r\u243?wnie\u380? w sytuacji, gdy zaskar\u380?one orzeczenie mimo b\u322?\u281?dnego uzasadnienia odpowiada prawu, to jest gdy nie ulega w\u261?tpliwo\u347?ci, \u380?e po usuni\u281?ciu przez Naczelny S\u261?d Administracyjny b\u322?\u281?d\u243?w zawartych w uzasadnieniu wyroku S\u261?du pierwszej instancji jego sentencja nie uleg\u322?aby zmianie. Taka sytuacja ma miejsce w okoliczno\u347?ciach rozpatrywanej sprawy, bowiem pomimo cz\u281?\u347?ciowej wadliwo\u347?ci stanowiska S\u261?du pierwszej instancji zaprezentowanej w uzasadnieniu zaskar\u380?onego wyroku S\u261?d pierwszej instancji s\u322?usznie uzna\u322?, \u380?e kontrolowana w sprawie decyzja Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia [...] grudnia 2020 r. nr [...] jest w zaskar\u380?onej cz\u281?\u347?ci b\u322?\u281?dna.
\par 
\par W realiach rozpatrywanej sprawy swoistym punktem wyj\u347?cia nale\u380?y uczyni\u263? ocen\u281? dzia\u322?ania organu nadzoru, kt\u243?ry w nast\u281?pstwie zg\u322?oszenia przez [...] naruszenia poufno\u347?ci danych swoich klient\u243?w (co mia\u322?o miejsce w dniu [...] marca 2020 r.) jak i szeregu skarg indywidualnych klient\u243?w sp\u243?\u322?ki wniesionych do organu nadzoru na niezgodne z prawem przetwarzanie ich danych osobowych zaniecha\u322? przeprowadzenia jednego post\u281?powania obejmuj\u261?cego "ca\u322?o\u347?\u263? zdarzenia", a w to miejsce prowadzi\u322? szereg rozproszonych post\u281?powa\u324? dotycz\u261?cych tej samej materii.
\par 
\par Wskaza\u263? nale\u380?y, \u380?e incydent naruszenia danych osobowych polega\u322? na braku ich zabezpieczenia w dniach [...] marca 2020 r. przez podmiot przetwarzaj\u261?cy [...] w [...] ([...]), z kt\u243?rym administrator, tj. [...] Sp. z o.o. [...] w [...] zawar\u322? [...] marca 2018 r. umow\u281? powierzenia przetwarzania danych osobowych. Incydent ten by\u322? przedmiotem post\u281?powania wszcz\u281?tego z urz\u281?du przez Prezesa Urz\u281?du Ochrony Danych Osobowych, zako\u324?czonego wydaniem decyzji z dnia [...] grudnia 2000 r. nr [...], kt\u243?rej punkt 1 zosta\u322? nast\u281?pnie uchylony wyrokiem wydanym przez S\u261?d pierwszej instancji. Jednocze\u347?nie osoby dotkni\u281?te powy\u380?szym incydentem skorzysta\u322?y ze \u347?rodka prawnego, o kt\u243?rym mowa w art. 77 ust. 1 RODO. Prezes Urz\u281?du Ochrony Danych Osobowych w tych sprawach wszcz\u261?\u322? odr\u281?bne post\u281?powania i w ka\u380?dym z nich korzystaj\u261?c ze swojego uprawnienia naprawczego udzieli\u322? \u8211? [...] Sp. z o.o. [...] w [...] upomnienia za naruszenie wskazanych w tre\u347?ci decyzji przepis\u243?w RODO za czyn polegaj\u261?cy na udost\u281?pnieniu bez podstawy prawnej danych osobowych indywidualnie oznaczonej osoby. Skargi do WSA w Warszawie w tych sprawach wnosi\u322? administrator danych \u8211? [...] Sp. z o.o. [...] w [...], a s\u261?dy administracyjne pierwszej instancji albo oddala\u322?y skargi, albo uchyla\u322?y zaskar\u380?on\u261? decyzj\u281? i umarza\u322?y post\u281?powanie prowadzone przed organem nadzoru.
\par 
\par Podkre\u347?lenia wymaga, \u380?e organ nadzoru prowadz\u261?c szereg odr\u281?bnych post\u281?powa\u324? uzna\u322? w istocie, \u380?e wszcz\u281?cie post\u281?powania w zwi\u261?zku ze zg\u322?oszeniem administratora danych osobowych naruszenia zasad ich przetwarzania dokonanego na podstawie art. 33 ust. 1 RODO nie stoi na przeszkodzie w prowadzeniu odr\u281?bnego post\u281?powania wszcz\u281?tego w zwi\u261?zku ze z\u322?o\u380?eniem indywidualnej skargi do organu nadzorczego na nieprawid\u322?owo\u347?ci w procesie przetwarzania danych osobowych. Innymi s\u322?owy, uzna\u322? za odpowiadaj\u261?ce prawu prowadzenie odr\u281?bnych post\u281?powa\u324? w przedmiocie rozpoznania skarg os\u243?b fizycznych, je\u347?li prowadzone jest post\u281?powanie g\u322?\u243?wne maj\u261?ce na celu ustalenie odpowiedzialno\u347?ci administracyjnej za naruszenie obowi\u261?zk\u243?w administratora zwi\u261?zanych z przetwarzaniem danych osobowych, wynikaj\u261?cych z przepis\u243?w RODO.
\par 
\par Naczelny S\u261?d Administracyjny stoi na stanowisku, \u380?e konieczne jest wszcz\u281?cie i przeprowadzenie jednego post\u281?powania przez Prezesa Urz\u281?du Ochrony Danych Osobowych, w ramach kt\u243?rego dojdzie do ustalenia wszystkich narusze\u324? przepis\u243?w RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszaj\u261?cej kary administracyjnej na podmiot odpowiedzialny w zwi\u261?zku ze zdarzeniem naruszenia danych osobowych polegaj\u261?cym na braku zabezpieczenia danych klient\u243?w administratora w dniach [...] marca 2020 r. przez podmiot przetwarzaj\u261?cy [...] w [...] ([...]), z kt\u243?rym administrator, tj. [...] Sp. z o.o. [...] w [...] zawar\u322? w dniu [...] marca 2018 r. umow\u281? powierzenia przetwarzania danych osobowych.
\par 
\par Wskaza\u263? nale\u380?y, \u380?e zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu zgodnie z art. 55 RODO, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Do zg\u322?oszenia przekazanego organowi nadzorczemu po up\u322?ywie 72 godzin do\u322?\u261?cza si\u281? wyja\u347?nienie przyczyn op\u243?\u378?nienia. Z kolei przepis art. 77 ust. 1 RODO stanowi, \u380?e bez uszczerbku dla innych administracyjnych lub \u347?rodk\u243?w ochrony prawnej przed s\u261?dem ka\u380?da osoba, kt\u243?rej dane dotycz\u261?, ma prawo wnie\u347?\u263? skarg\u281? do organu nadzorczego, w szczeg\u243?lno\u347?ci w pa\u324?stwie cz\u322?onkowskim swojego zwyk\u322?ego pobytu, swojego miejsca pracy lub miejsca pope\u322?nienia domniemanego naruszenia, je\u380?eli s\u261?dzi, \u380?e przetwarzanie danych osobowych jej dotycz\u261?ce narusza niniejsze rozporz\u261?dzenie.
\par 
\par O ile wi\u281?c przepis art. 33 ust. 1 RODO nak\u322?ada obowi\u261?zek prawny na administratora danych osobowych zg\u322?oszenia organowi nadzoru naruszenia ochrony danych osobowych, okre\u347?la sytuacj\u281?, w kt\u243?rej ten obowi\u261?zek powstaje oraz termin jego dope\u322?nienia, o tyle przepis art. 77 ust. 1 RODO reguluje uprawnienie osoby, kt\u243?rej dane osobowe s\u261? przetwarzane, do z\u322?o\u380?enia skargi do organu nadzoru, je\u380?eli s\u261?dzi, \u380?e przetwarzanie jej danych osobowych narusza przepisy RODO. \u379?aden z tych przepis\u243?w nie odnosi si\u281? do zagadnienia procesowego zwi\u261?zanego z wszcz\u281?ciem post\u281?powania kontrolnego oraz ile post\u281?powa\u324? nale\u380?y prowadzi\u263? w zwi\u261?zku z danym incydentem.
\par 
\par Zadania organu nadzoru, w tym zadania zwi\u261?zane z prowadzeniem post\u281?powa\u324? normowanych przez RODO uregulowane zosta\u322?y w przepisie art. 57 ust. 1 RODO, kt\u243?ry m.in. w lit. f wskazuje, \u380?e organ nadzoru rozpatruje skargi wniesione przez osob\u281?, kt\u243?rej dane dotycz\u261?, lub przez podmiot, organizacj\u281? lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi post\u281?powania w przedmiocie tych skarg i w rozs\u261?dnym terminie informuje skar\u380?\u261?cego o post\u281?pach i wynikach tych post\u281?powa\u324?, w szczeg\u243?lno\u347?ci je\u380?eli niezb\u281?dne jest dalsze prowadzenie post\u281?powa\u324? lub koordynacja dzia\u322?a\u324? z innym organem nadzorczym. Przepisy art. 57 ust. 1 RODO milcz\u261? natomiast w przedmiocie post\u281?powania wszczynanego w zwi\u261?zku ze zg\u322?oszeniem, o kt\u243?rym mowa w art. 33 ust. 1 RODO. Doda\u263? nale\u380?y, \u380?e w przypadku naruszenia ochrony danych osobowych badana mo\u380?e by\u263? kwestia w\u322?a\u347?ciwej ochrony przetwarzania danych osobowych, a zatem realizacji obowi\u261?zk\u243?w administratora, o kt\u243?rych mowa m.in. w art. 5 ust. 1 RODO. Musi to prowadzi\u263? do konkluzji, i\u380? regulacja z art. 57 ust. 1 RODO jest niewyczerpuj\u261?ca i wymienia przyk\u322?adowe rodzaje zada\u324? i ewentualnych post\u281?powa\u324? kontrolnych.
\par 
\par Naczelny S\u261?d Administracyjny wskazuje, \u380?e stanowisko jakoby post\u281?powanie zwi\u261?zane z badaniem realizacji obowi\u261?zk\u243?w administratora z art. 5 ust. 1 i art. 32 RODO dotyczy tej samej materii, co post\u281?powania inicjowane indywidualnymi skargami, o kt\u243?rych stanowi art. 77 ust. 1 RODO, jest zasadne jedynie cz\u281?\u347?ciowo. Mo\u380?na bowiem racjonalnie za\u322?o\u380?y\u263?, i\u380? doj\u347?\u263? mo\u380?e do naruszenia ochrony danych osobowych, mimo dope\u322?nienia przez administratora swoich obowi\u261?zk\u243?w wynikaj\u261?cych z RODO. Mo\u380?e tak\u380?e doj\u347?\u263? do sytuacji, w kt\u243?rych oba przedmioty b\u281?d\u261? pozostawa\u263? w zwi\u261?zku, gdy\u380? naruszenie obowi\u261?zk\u243?w administratora doprowadzi do naruszenia ochrony danych osobowych. W\u243?wczas przedmioty obu post\u281?powa\u324? cho\u263? nie b\u281?d\u261? takie same, b\u281?d\u261? jednak pozostawa\u263? ze sob\u261? w takim zwi\u261?zku, i\u380? nieuzasadnione b\u281?dzie prowadzenie odr\u281?bnych post\u281?powa\u324? wszcz\u281?tych w zwi\u261?zku z indywidualnymi skargami, o kt\u243?rych mowa w art. 77 ust. 1 RODO. Przypadek taki b\u281?dzie mie\u263? miejsce w\u243?wczas, gdy naruszenie obowi\u261?zk\u243?w administratora, o kt\u243?rych mowa m.in. w przepisach art. 5 ust. 1 i art. 32 RODO prowadzi do naruszenia ochrony danych osobowych, co wi\u261?\u380?e si\u281? z potrzeb\u261? na\u322?o\u380?enia kary administracyjnej. W takich przypadkach wyja\u347?nienie zagadnienia niedope\u322?nienia obowi\u261?zk\u243?w administratora b\u281?dzie r\u243?wnoznaczne z wyja\u347?nieniem okoliczno\u347?ci naruszenia zasad przetwarzania danych osobowych konkretnej osoby jako skutku lub nast\u281?pstwa niedope\u322?nienia tych obowi\u261?zk\u243?w. W takich sytuacjach mno\u380?enie post\u281?powa\u324? administracyjnych jest niedopuszczalne, gdy\u380? celem i przedmiotem obu post\u281?powa\u324? jest na\u322?o\u380?enie kary administracyjnej. W tych sprawach nie jest jednak wykluczone skorzystanie przez osoby indywidualne ze \u347?rodka prawnego, o kt\u243?rym mowa w art. 77 ust. 1 RODO, np. po wydaniu ostatecznej decyzji w post\u281?powaniu zwi\u261?zanym z badaniem realizacji obowi\u261?zk\u243?w administratora z art. 5 ust. 1 i art. 32 RODO. Wynika to z prawa do skutecznego \u347?rodka prawnego i dost\u281?pu do bezstronnego s\u261?du ustanowionego w art. 47 Karty Praw Podstawowych Unii Europejskiej z 7 grudnia 2000 r. (Dz. U. UE C z dnia 14 grudnia 2007 r.), z kt\u243?rego tre\u347?ci wywie\u347?\u263? nale\u380?y, \u380?e je\u347?li s\u261?d wyda\u322? wyrok wi\u261?\u380?\u261?cy erga omnes, ale osoba, kt\u243?rej prawa zosta\u322?y naruszone, nie uczestniczy\u322?a w tym post\u281?powaniu, to ma ona prawo do \u347?rodka odwo\u322?awczego z pomini\u281?ciem mocy wi\u261?\u380?\u261?cej takiego wyroku zapad\u322?ego w sprawie "g\u322?\u243?wnej". Przepis art. 47 Karty Praw Podstawowych Unii Europejskiej ma charakter uniwersalny i odnosi si\u281? do wszystkich uprawnie\u324? wynikaj\u261?cych z prawa UE, r\u243?wnie\u380? do uprawnie\u324? os\u243?b, kt\u243?rych dane osobowe s\u261? przetwarzane niezgodnie z przepisami RODO.
\par 
\par Ponadto, je\u380?eli naruszenie praw wielu os\u243?b jest skutkiem jednego stanu faktycznego (jednego naruszenia), to nale\u380?y przyj\u261?\u263?, \u380?e jest to jedna sprawa materialna w rozumieniu ustawy \u8211? Kodeks post\u281?powania administracyjnego. Na przedmiot sprawy administracyjnej sk\u322?ada si\u281? element przedmiotowy (stan faktyczny) oraz podmiotowy (osoby, kt\u243?rych dane zosta\u322?y udost\u281?pnione). Je\u347?li do naruszenia RODO dosz\u322?o na skutek jednego zdarzenia, to jego konsekwencje dotycz\u261? interesu prawnego wielu os\u243?b. To stanowisko wspiera wyk\u322?adnia systemowa. Motyw 20 RODO m\u243?wi o rozpatrywaniu przez organy nadzorcze skarg "zwi\u261?zanych z operacjami przetwarzania danych". Podobnie motyw 131 RODO wskazuje na uj\u281?cie przedmiotowe, post\u281?powanie prowadzone jest wobec czynno\u347?ci przetwarzania ( "Je\u380?eli funkcj\u281? wiod\u261?cego organu nadzorczego wobec czynno\u347?ci przetwarzania prowadzonych przez administratora lub podmiot przetwarzaj\u261?cy powinien pe\u322?ni\u263? inny organ nadzorczy, ale konkretny przedmiot skargi lub ewentualnego naruszenia dotyczy wy\u322?\u261?cznie czynno\u347?ci przetwarzania prowadzonych przez administratora"). Tym samym, naruszenie ochrony danych (zdarzenie, incydent) powinno spotka\u263? si\u281? z jedn\u261? reakcj\u261? organu nadzorczego, tym bardziej, \u380?e liczba os\u243?b poszkodowanych naruszeniem jest okoliczno\u347?ci\u261? obci\u261?\u380?aj\u261?c\u261? administratora. Wydana decyzja b\u281?dzie mia\u322?a wp\u322?yw na prawa wszystkich podmiot\u243?w obj\u281?tych naruszeniem i osoby te powinny mie\u263? prawo do kwestionowania stanowiska PUODO. Szczeg\u243?lnie je\u347?liby w ocenie organu nie dosz\u322?o do naruszenia, osoby poszkodowane powinny mie\u263? mo\u380?liwo\u347?\u263? zaskar\u380?enia decyzji "g\u322?\u243?wnej", kt\u243?ra w innym przypadku mia\u322?aby charakter wi\u261?\u380?\u261?cy i sta\u322?aby na przeszkodzie realizacji indywidualnych uprawnie\u324? wynikaj\u261?cych z prawa UE. Sytuacja, w kt\u243?rej organ prowadzi post\u281?powanie g\u322?\u243?wne z pomini\u281?ciem os\u243?b poszkodowanych, z pewno\u347?ci\u261? narusza\u322?aby standard proceduralny wynikaj\u261?cy z art. 47 Karty Praw Podstawowych Unii Europejskiej, do kt\u243?rej to regulacji przepisy RODO zreszt\u261? si\u281? odwo\u322?uj\u261?.
\par 
\par Kolejnym argumentem przemawiaj\u261?cym za powy\u380?szym stanowiskiem jest tre\u347?\u263? przepisu art. 83 ust. 2 RODO, a w szczeg\u243?lno\u347?ci jego litery "a". Przepis ten wskazuje na okoliczno\u347?ci, kt\u243?re winny przem\u243?wi\u263? za na\u322?o\u380?eniem administracyjnej kary pieni\u281?\u380?nej oraz okre\u347?la dyrektywy ustalenia jej wysoko\u347?ci. W\u347?r\u243?d tych dyrektyw jako jedna z najwa\u380?niejszych wskazana jest liczba poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?. Wywie\u347?\u263? z tego przepisu nale\u380?y wniosek, \u380?e liczba poszkodowanych os\u243?b warunkuje ukaranie administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261? oraz determinuje wysoko\u347?\u263? takiej kary. Wy\u322?\u261?czenie do odr\u281?bnego rozpoznania spraw, w kt\u243?rych osoby indywidualne wnios\u322?y skargi do organu nadzoru ma ten skutek, \u380?e pomniejsza liczb\u281? os\u243?b poszkodowanych w sprawie g\u322?\u243?wnej maj\u261?cej za przedmiot dany incydent zwi\u261?zany z niew\u322?a\u347?ciwym przetwarzaniem danych osobowych, naruszeniem obowi\u261?zk\u243?w administratora. Prowadzenie odr\u281?bnych post\u281?powa\u324? w odniesieniu do skarg indywidualnych skutkuje wi\u281?c tym, \u380?e nie b\u281?d\u261? one uwzgl\u281?dnione w liczbie os\u243?b poszkodowanych branych pod rozwag\u281? przy podejmowaniu decyzji w przedmiocie na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej i jej wysoko\u347?ci w sprawie g\u322?\u243?wnej. Jest to te\u380? cz\u281?\u347?ciowo konsekwencj\u261? w\u261?tpliwo\u347?ci co do sensowno\u347?ci wielokrotnego upominania administratora za ten sam incydent.
\par 
\par Swoiste "rozparcelowanie" jednego incydentu tego rodzaju na wiele post\u281?powa\u324? w przedmiocie na\u322?o\u380?enia odpowiedzialno\u347?ci administracyjnej mo\u380?e prowadzi\u263? do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiar\u243?w poniesionych szk\u243?d. Taka decyzja procesowa organu prowadzi w gruncie rzeczy do naruszenia zasad i regu\u322? post\u281?powania wyja\u347?niaj\u261?cego, w tym przede wszystkim art. 7, art. 77 \u167? 1 i art. 80 k.p.a., gdy\u380? w\u243?wczas sprawa konkretnego incydentu zasadniczo nie mo\u380?e by\u263? prawid\u322?owo wyja\u347?niona przy uwzgl\u281?dnieniu wszystkich jego okoliczno\u347?ci faktycznych. Wy\u322?\u261?czenie bowiem pewnych fragment\u243?w zdarzenia powoduje ich wykluczenie z generalnego budowania obrazu ka\u380?dej indywidualnej sprawy zwi\u261?zanej z naruszeniem przepis\u243?w RODO.
\par 
\par Naczelny S\u261?d Administracyjny stoi przy tym na stanowisku, \u380?e kwestia odpowiedzialno\u347?ci administracyjnej administratora lub podmiotu przetwarzaj\u261?cego dane osobowe nie jest uregulowana w spos\u243?b jednolity w przepisach RODO i jest determinowana przez nast\u281?puj\u261?ce czynniki. Przede wszystkim zakres odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego zale\u380?\u261? od tego, czy umowa lub inny instrument prawny na podstawie kt\u243?rego nast\u261?pi\u322?o przekazanie przez administratora przetwarzania danych podmiotowi przetwarzaj\u261?cemu dane podlegaj\u261? prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego i wi\u261?\u380?\u261? podmiot przetwarzaj\u261?cy i administratora (art. 28 ust. 3 RODO). Nale\u380?y to rozumie\u263? w ten spos\u243?b, i\u380? taka umowa lub instrument musz\u261? podlega\u263? prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego, jak r\u243?wnie\u380? administrator i podmiot przetwarzaj\u261?cy musz\u261? podlega\u263? prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego, tj. pozostawa\u263? w zakresie jego jurysdykcji. W\u243?wczas mo\u380?liwe jest rozwa\u380?anie zagadnienia odr\u281?bnej oceny odpowiedzialno\u347?ci administratora danych osobowych oraz odr\u281?bnej odpowiedzialno\u347?ci podmiotu przetwarzaj\u261?cego za ewentualne naruszenie przepis\u243?w RODO, w tym odpowiedzialno\u347?ci administracyjnej. W takiej sytuacji odpowiedzialno\u347?\u263? administratora mo\u380?e zosta\u263? ograniczona np. do oceny dope\u322?nienia obowi\u261?zk\u243?w z art. 28 ust. 1 RODO na etapie zawierania umowy.
\par 
\par Z kolei w sytuacjach, gdy administrator podlegaj\u261?cy prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego i jego jurysdykcji zawiera umow\u281? o powierzenie przetwarzania danych osobowych, kt\u243?ra nie podlega prawu UE lub pa\u324?stwa cz\u322?onkowskiego lub z podmiotem, kt\u243?ry nie podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE, w\u243?wczas ponosi on odpowiedzialno\u347?\u263? obiektywn\u261? za wszystkie czynno\u347?ci przetwarzania danych osobowych dokonywane przez taki podmiot przetwarzaj\u261?cy. Wniosek taki mo\u380?liwy jest do wyprowadzenia w drodze wyk\u322?adni j\u281?zykowej przepisu art. 5 ust. 2 RODO, kt\u243?ry dochowanie zasad i obowi\u261?zk\u243?w przetwarzania danych osobowych, a nast\u281?pnie odpowiedzialno\u347?ci z tym zwi\u261?zanej wi\u261?\u380?e z administratorem danych, jak r\u243?wnie\u380? wyk\u322?adni systemowej ca\u322?o\u347?ci przepis\u243?w RODO, kt\u243?re nakierowane s\u261? na ochron\u281? danych osobowych oraz skuteczne egzekwowanie ka\u380?dego naruszenia prawa do ochrony danych osobowych. W przypadku naruszenia zasad przetwarzania danych osobowych wynikaj\u261?cych z RODO lub innych przepis\u243?w pa\u324?stwa cz\u322?onkowskiego odpowiedzialno\u347?\u263? ponosi administrator danych osobowych, chyba \u380?e mo\u380?liwe b\u281?dzie przypisanie takiej odpowiedzialno\u347?ci innemu podmiotowi zaanga\u380?owanemu w przetwarzanie danych osobowych na zasadach wynikaj\u261?cych z RODO (lub przepis\u243?w prawa pa\u324?stwa cz\u322?onkowskiego), a nast\u281?pnie jej skuteczne wyegzekwowanie zgodnie z przepisami RODO. To za\u347? oznacza, \u380?e przej\u281?cie obowi\u261?zk\u243?w administratora przez podmiot przetwarzaj\u261?cy musi nast\u261?pi\u263? na podstawie umowy lub instrumentu prawnego regulowanego przepisami RODO lub przepisami pa\u324?stwa cz\u322?onkowskiego UE i jednocze\u347?nie przez podmiot przetwarzaj\u261?cy, kt\u243?ry podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE, tak aby mo\u380?liwe by\u322?o poci\u261?gni\u281?cie go do odpowiedzialno\u347?ci prawnej wynikaj\u261?cej z RODO lub przepis\u243?w prawa pa\u324?stwa cz\u322?onkowskiego. Przez powy\u380?sze ustalenia nale\u380?y interpretowa\u263? przepis art. 83 ust. 2 lit. d RODO, gdy\u380? w przeciwnym razie niemo\u380?liwe by\u322?oby osi\u261?gni\u281?cie cel\u243?w odpowiedzialno\u347?ci administracyjnej, w tym cel\u243?w nak\u322?adania administracyjnych kar pieni\u281?\u380?nych, kt\u243?rych zastosowanie za naruszenie przepis\u243?w RODO winno by\u263? skuteczne, proporcjonalne i odstraszaj\u261?ce.
\par 
\par Nie spos\u243?b zatem zaakceptowa\u263? pogl\u261?du wyra\u380?onego przez S\u261?d pierwszej instancji, kt\u243?ry w uzasadnieniu wydanego wyroku wskaza\u322? m.in., \u380?e [...] podmiot przetwarzaj\u261?cy jest obowi\u261?zany do wsp\u243?\u322?dzia\u322?ania z administratorem, a nawet do udzielania mu pomocy w wywi\u261?zywaniu si\u281? z jego obowi\u261?zk\u243?w okre\u347?lonych w art. 32-36 (art. 28 rozporz\u261?dzenia). Na\u322?o\u380?enie zar\u243?wno na administratora, jak i na podmiot przetwarzaj\u261?cy do\u347?\u263? og\u243?lnego obowi\u261?zku zapewnienia bezpiecze\u324?stwa danych (art. 32 ust. 1) nie implikuje oczywi\u347?cie konieczno\u347?ci podejmowania przez te podmioty dzia\u322?a\u324? tego samego rodzaju i nie rodzi po ich stronie odpowiedzialno\u347?ci za naruszenia, niezale\u380?nie od tego, kt\u243?remu z nich mo\u380?na je przypisa\u263?. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzania danych i solidarnej odpowiedzialno\u347?ci za naruszenie tych obowi\u261?zk\u243?w. Zdaniem Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowi\u261?zk\u243?w kierowanych do administratora i do podmiotu przetwarzaj\u261?cego (np. art. 32 ust. 1) s\u261? ich prawnie wyznaczone funkcje. Wed\u322?ug rozporz\u261?dzenia funkcj\u261? administratora danych jest samodzielne lub wsp\u243?lnie z innymi ustalanie cel\u243?w i sposob\u243?w przetwarzania danych osobowych (art. 4 pkt 7 rozporz\u261?dzenia). Do podmiotu przetwarzaj\u261?cego nale\u380?y natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, \u380?e na ka\u380?dym z tych podmiot\u243?w ci\u261?\u380?\u261? obowi\u261?zki dotycz\u261?ce zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w pi\u347?miennictwie. W komentarzu do art. 5 ust. 2 rozporz\u261?dzenia formu\u322?uj\u261?cego og\u243?ln\u261? zasad\u281? odpowiedzialno\u347?ci administratora danych za przestrzeganie przepis\u243?w rozporz\u261?dzenia dotycz\u261?cych przetwarzania danych osobowych wyra\u380?ono pogl\u261?d, \u380?e w przypadku powierzenia przetwarzania danych osobowych, obowi\u261?zki wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpiecze\u324?stwa odpowiadaj\u261?cego ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia spoczywaj\u261? na podmiocie przetwarzaj\u261?cym (S\u261?d pierwszej instancji przywo\u322?a\u322? publikacj\u281? "Og\u243?lne rozporz\u261?dzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz" pod red. P. Lipi\u324?skiego, Warszawa 2021, s. 164). Zdaniem S\u261?du pierwszej instancji przedstawione powy\u380?ej rozwa\u380?ania uzasadniaj\u261? stwierdzenie, \u380?e w przypadku powierzenia przetwarzania danych podmiotowi przetwarzaj\u261?cemu egzekwowanie odpowiedzialno\u347?ci za naruszenia powsta\u322?e w procesie przetwarzania nie mo\u380?e nie bra\u263? pod uwag\u281? obowi\u261?zk\u243?w obu podmiot\u243?w uczestnicz\u261?cych w przetwarzaniu i nie uwzgl\u281?dnia\u263? ich indywidualnego przyczynienia si\u281? do powstania naruszenia. \u346?wiadcz\u261? o tym r\u243?wnie\u380? okre\u347?lone w rozporz\u261?dzeniu zasady nak\u322?adania administracyjnych kar pieni\u281?\u380?nych za naruszenie przepis\u243?w rozporz\u261?dzenia (art. 83). Tej odpowiedzialno\u347?ci administracyjnej podlegaj\u261? administrator danych i podmiot przetwarzaj\u261?cy. Jedna z dyrektyw nak\u322?adania tych kar stanowi, \u380?e podj\u281?cie decyzji o na\u322?o\u380?eniu kary i ustaleniu jej wysoko\u347?ci wymaga zwr\u243?cenia uwagi w ka\u380?dym indywidualnym przypadku na stopie\u324? odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego, z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych organizacyjnych wdro\u380?onych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d)". S\u261?d pierwszej instancji skonstatowa\u322? r\u243?wnie\u380?, \u380?e wydaje si\u281? oczywiste, \u380?e ze wzgl\u281?du na to, \u380?e naruszenie nast\u261?pi\u322?o w procesie przetwarzania danych przez podmiot przetwarzaj\u261?cy, wskutek b\u322?\u281?du jego pracownika, przede wszystkim ten podmiot mia\u322? najwi\u281?ksze mo\u380?liwo\u347?ci, przy prawid\u322?owym wykonywaniu swych obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzanych danych, wynikaj\u261?cych z art. 32 w zwi\u261?zku z art. 28 ust. 3 lit. c rozporz\u261?dzenia, doprowadzenia do niezw\u322?ocznego stwierdzenia naruszenia i powiadomienia administratora danych o naruszeniu. S\u261?d meriti zauwa\u380?y\u322?, \u380?e organ rozpatruj\u261?c kwesti\u281? naruszenia przez administratora art. 28 ust. 1 i ust. 3 lit. h rozporz\u261?dzenia umorzy\u322? post\u281?powanie w tym zakresie, poniewa\u380? nie dopatrzy\u322? si\u281? po stronie administratora b\u322?\u281?du w wyborze podmiotu przetwarzaj\u261?cego dane. Zdaniem S\u261?du pierwszej instancji, w \u347?wietle analizowanych przepis\u243?w rozporz\u261?dzenia i ustalonych przez organ okoliczno\u347?ci faktycznych sprawy nie ma podstaw do przypisania administratorowi danych sprawstwa za powstanie naruszenia (spowodowania niekontrolowanego dost\u281?pu do danych) ani do postawienia temu podmiotowi zarzutu spowodowania wy\u322?\u261?cznie swoim zachowaniem op\u243?\u378?nienia w stwierdzeniu naruszenia ochrony danych osobowych. Je\u380?eli bowiem ju\u380? [...] marca 2020 r., po ponownym zresetowaniu serwera, przetwarzaj\u261?cy nie dokona\u322? poprawnego jego zabezpieczenia, to ten jego b\u322?\u261?d oboj\u281?tnie czy niezauwa\u380?ony czy zlekcewa\u380?ony, ca\u322?kowicie obci\u261?\u380?a podmiot przetwarzaj\u261?cy.
\par 
\par Maj\u261?c na uwadze pr\u243?b\u281? uchylenia si\u281? przez administratora danych osobowych za naruszenie zasad ich przetwarzania i przyj\u281?cie za\u322?o\u380?enia, \u380?e odpowiedzialno\u347?\u263? ta spoczywa na gruncie okoliczno\u347?ci faktycznych niniejszej sprawy na podmiocie przetwarzaj\u261?cym Naczelny S\u261?d Administracyjny uzna\u322?, \u380?e w zwi\u261?zku z powierzeniem funkcji podmiotu przetwarzaj\u261?cego dane osobowe podlegaj\u261?cemu jurysdykcji [...] zachodzi pe\u322?na odpowiedzialno\u347?\u263? administratora danych osobowych, kt\u243?rym jest skar\u380?\u261?ca sp\u243?\u322?ka, a w konsekwencji rozwa\u380?anie, czy to administrator prowadzi\u322? procesy przetwarzania danych osobowych i czy mia\u322?o to miejsce bez podstawy prawnej w tym kontek\u347?cie nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialno\u347?ci w zakresie administracyjnej kary pieni\u281?\u380?nej. Wyprowadzenie procesu przetwarzania danych osobowych poza kraje, w kt\u243?rych obowi\u261?zuj\u261? przepisy RODO oraz na rzecz podmiotu, kt\u243?ry nie podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE by\u322?o \u347?wiadomym dzia\u322?aniem administratora, st\u261?d dla zachowania realizacji praw podmiotowych os\u243?b podlegaj\u261?cych ochronie przepis\u243?w RODO i skuteczno\u347?ci tych przepis\u243?w konieczne jest przyj\u281?cie takiego stanowiska.
\par 
\par W ocenie Naczelnego S\u261?du Administracyjnego, na tle wyk\u322?adni wskazanych regulacji RODO jak i na tle opisanych wcze\u347?niej okoliczno\u347?ci faktycznych zachodzi potrzeba prowadzenia jednego post\u281?powania w odniesieniu do ca\u322?o\u347?ci zdarzenia naruszenia zasad przetwarzania danych osobowych. Sprawa g\u322?\u243?wna, w kt\u243?rej wydana zosta\u322?a przez Prezesa Urz\u281?du Ochrony Danych Osobowych decyzja z dnia [...] grudnia 2000 r. nr [...] jak i jednostkowe sprawy dotycz\u261?ce niezgodnego z prawem przetwarzania danych osobowych powinny zosta\u263? rozpoznane ponownie w ramach jednego post\u281?powania. Innymi s\u322?owy, powinno doj\u347?\u263? do po\u322?\u261?czenia w jedn\u261? spraw\u281? sprawy niniejszej, jak r\u243?wnie\u380? wszystkich innych spraw prowadzonych w zwi\u261?zku ze skorzystaniem przez osoby, kt\u243?rych dane osobowe zosta\u322?y naruszone, ze \u347?rodka w postaci indywidualnej skargi do organu nadzoru. Osoby takie powinny uzyska\u263? status stron takiego post\u281?powania. W jego ramach winno doj\u347?\u263? do wyja\u347?nienia wszystkich istotnych okoliczno\u347?ci sprawy, jaki i zapewnienia praw procesowych stronom post\u281?powania, a nast\u281?pnie wydania decyzji orzekaj\u261?cej o konsekwencjach administracyjnoprawnych odnosz\u261?cych si\u281? do ca\u322?o\u347?ci incydentu.
\par 
\par Maj\u261?c na wzgl\u281?dzie powy\u380?sze rozwa\u380?ania Naczelny S\u261?d Administracyjny na podstawie art. 184 P.p.s.a. oddali\u322? skarg\u281? kasacyjn\u261? organu, o czym orzeczono jak w punkcie pierwszym sentencji wyroku.
\par 
\par O odst\u261?pieniu od zas\u261?dzenia zwrotu koszt\u243?w post\u281?powania kasacyjnego w ca\u322?o\u347?ci orzeczono jak w punkcie drugim sentencji wyroku na podstawie art. 207 \u167? 2 P.p.s.a.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}