drukuj    zapisz    Powrót do listy

647 Sprawy związane z ochroną danych osobowych, Ochrona danych osobowych, Generalny Inspektor Ochrony Danych Osobowych, Uchylono zaskarżony wyrok i zaskarżoną decyzję, III OSK 3945/21 - Wyrok NSA z 2023-02-09, Centralna Baza Orzeczeń Naczelnego (NSA) i Wojewódzkich (WSA) Sądów Administracyjnych, Orzecznictwo NSA i WSA

III OSK 3945/21 - Wyrok NSA

Data orzeczenia
2023-02-09 orzeczenie prawomocne
Data wpływu
2021-01-11
Sąd
Naczelny Sąd Administracyjny
Sędziowie
Maciej Kobak
Rafał Stasikowski /przewodniczący/
Zbigniew Ślusarczyk /sprawozdawca/
Symbol z opisem
647 Sprawy związane z ochroną danych osobowych
Hasła tematyczne
Ochrona danych osobowych
Sygn. powiązane
II SA/Wa 2559/19 - Wyrok WSA w Warszawie z 2020-09-03
Skarżony organ
Generalny Inspektor Ochrony Danych Osobowych
Treść wyniku
Uchylono zaskarżony wyrok i zaskarżoną decyzję
Powołane przepisy
Dz.U. 2018 poz 2096 art. 10 § 1, art. 78 § 1, art. 81a § 1, art. 84 § 1 art. 107 § 1 pkt 5
Ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego - tekst jedn.
Dz.U. 2018 poz 1000 art. 7 ust. 1 i 2
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
Dz.U.UE.L 2016 nr 119 poz 1 art. 5 ust. 1 lit. a i f, art. 5 ust. 2, art. 32 ust. 1 i 2, art. 83 ust 1 i 2
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
Tezy

1. Sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 ze zm.) podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.

2. Jakkolwiek ustawa z 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 1000 ze zm.) nie przewiduje wprost „prawa do obrony”, to szereg uprawnień składających się na to prawo można wywieść z art. 10 k.p.a. oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak art. 78 k.p.a.

Sentencja

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Rafał Stasikowski Sędziowie Sędzia NSA Zbigniew Ślusarczyk (spr.) Sędzia del. WSA Maciej Kobak po rozpoznaniu w dniu 9 lutego 2023 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej M. z siedzibą w K. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 3 września 2020 r. sygn. akt II SA/Wa 2559/19 w sprawie ze skargi M. z siedzibą w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 10 września 2019 r. nr ZSPR.421.2.2019; ZSPR.405.67.2019 w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych 1. uchyla zaskarżony wyrok i zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz M. Sp. z o.o. z siedzibą w K. kwotę 65.075 zł (sześćdziesiąt pięć tysięcy siedemdziesiąt pięć) zł tytułem zwrotu kosztów postępowania sądowego.

Uzasadnienie

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 3 września 2020 r. sygn. akt II SA/Wa 2559/19, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325 ze zm.) dalej "p.p.s.a." oddalił skargę M. Sp. z o.o. z siedzibą w K. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 10 września 2019 r. nr ZSPR.421.2.2019; ZSPR.405.67.2019 w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych.

Wyrok został wydany w następującym stanie faktycznym i prawnym sprawy.

30 listopada 2018 r. M., zwana dalej także "skarżącą" lub "spółką", zgłosiła Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej także "Prezesem UODO" dwa naruszenia ochrony danych osobowych, które dotyczyły uzyskania przez osobę nieuprawnioną dostępu do bazy danych klientów sklepów internetowych [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...] oraz uzyskania przez osobę nieupoważnioną dostępu do konta pracownika Spółki, a w konsekwencji uzyskania danych osobowych klientów realizujących zakupy w ww. sklepach internetowych.

Następnie, 16 grudnia 2018 r. spółka zgłosiła do Prezesa UODO kolejne naruszenie polegające na uzyskaniu nieuprawnionego dostępu do konta pracownika Spółki.

W okresie od 21 do 25 stycznia 2019 r. upoważnieni pracownicy UODO przeprowadzili kontrolę w M., w celu zbadania zgodności przetwarzania przez spółkę danych osobowych z przepisami rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23.05.2018, str. 2) zwanego dalej: "RODO" i ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000, ze zm.) zwanej dalej: "u.o.d.o." Zakresem kontroli objęto przetwarzanie danych osobowych klientów sklepów internetowych: [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], [...], których administratorem jest Spółka.

Prezes UODO pismem z 21 czerwca 2019 r. wszczął z urzędu postępowanie administracyjne w sprawie stwierdzonych w trakcie przeprowadzonej kontroli uchybień. W zawiadomieniu o wszczęciu wskazano, że spółka dopuściła się:

1. naruszenia zasady poufności danych wyrażonej w art. 5 ust 1 lit. f RODO odzwierciedlonej w postaci obowiązków określonych w art. 24 ust 1, art. 25 ust. 1 oraz art. 32 ust. 1 lit. b i d, art. 32 ust. 2 RODO, bowiem wywiązała się jedynie częściowo z obowiązku zapewnienia odpowiednich środków zabezpieczenia technicznego przetwarzanych danych. Niewypełnienie obowiązku wynikającego z art. 32 ust. 2 RODO polegało na doborze nieskutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania, monitorowania ruchu sieciowego w środowisku produkcyjnym, braku oceny zdolności do ciągłego zapewnienia poufności, braku oceny ryzyka uzyskania dostępu do panelu pracownika spółki oraz ryzyka naruszenia praw lub wolności osób, których dane przetwarza spółka. Spółka nie podejmowała wystarczających działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Nieprawidłowości te mogły doprowadzić do naruszeń ochrony danych osobowych, a w konsekwencji narażenia klientów spółki na szkodę majątkową,

2. naruszenia zasady legalności wyrażonej w art. 5 ust 1 lit. a RODO, zasady rozliczalności z art. 5 ust. 2 RODO, uszczegółowionych w art. 7 ust. 1 oraz art. 6 ust. 1 pkt a tego rozporządzenia. Spółka nie jest w stanie dokładnie wskazać daty uruchomienia funkcjonalności zapisywania danych z wniosków ratalnych (prawdopodobnie w roku 2016) oraz nie posiada w tym zakresie udokumentowanej analizy procesu przetwarzania danych. Około 15 grudnia 2018 r., na ustne polecenie wiceprezesa spółki R. S., spółka usunęła bazę danych zawierającą dane klientów z "wniosków ratalnych". Nie przeprowadzono w tym zakresie szczególnej analizy oraz nie udokumentowano usunięcia danych. Ponieważ w trakcie kontroli nie przedstawiono treści zbieranych przez spółkę zgód przyjęto, że administrator nie wykazał, iż pozyskał zgody od osób, których dane dotyczą, na przetwarzanie danych z wniosków ratalnych, a tym samym spółka przetwarzała dane osobowe w tym zakresie bez podstawy prawnej.

W toku postępowania skarżąca odniosła się do argumentów wskazanych w zawiadomieniu o wszczęciu postępowania i wniosła o przeprowadzenie dowodu z opinii biegłego, posiadającego wiadomości specjalne z zakresu bezpieczeństwa systemów informatycznych, na okoliczność:

- ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności M. w 2018 r.,

- oceny, czy środki techniczne i organizacyjne stosowane przez M. odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności M. w 2018 r.,

- oceny czy środki techniczne i organizacyjne stosowane przez M. były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Postanowieniem z 6 sierpnia 2019 r. Prezes UODO odmówił uwzględnienia ww. wniosku dowodowego. W uzasadnieniu wskazał, że skuteczność prawna żądania strony uzależniona jest od spełnienia przesłanki – przedmiotem dowodu musi być okoliczność mająca znaczenie dla sprawy. Ponadto w postępowaniu administracyjnym brak jest obowiązku przeprowadzenia dowodu z opinii biegłego nawet wówczas, gdy wyjaśnienie sprawy wymaga wiadomości szerszych niż przeciętne w danej dziedzinie. Zdaniem organu stopień skomplikowania sprawy nie przekracza zakresu wiadomości będących w gestii organu.

W ocenie Prezesa UODO okoliczności wskazane w pierwszych dwóch punktach wniosku nie mają istotnego znaczenia dla rozstrzygnięcia w sprawie. W odniesieniu do punktu trzeciego wniosku organ uznał, że okoliczność ta została już udowodniona na podstawie dowodów pozyskanych w toku kontroli przeprowadzonej w siedzibie spółki, w toku przeprowadzonego postępowania administracyjnego, jak również poprzez złożenie przez spółkę obszernych wyjaśnień w zw. ze zgłoszonymi naruszeniami ochrony danych. Ponadto zdaniem Prezesa UODO należy uwzględnić wskazaną w art. 12 k.p.a. zasadę szybkości postępowania i uznać, iż dopuszczenie dowodu byłoby działaniem ze zbędną zwłoką, prowadzącym do przewlekłości postępowania. Dopuszczenie dowodu z opinii biegłego nie zapewni przyspieszenia lub uproszczenia postępowania, co przesądza o konieczności odmówienia uwzględnienia wniosku dowodowego spółki.

Zaskarżoną decyzją Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez M. przepisów art. 5 ust. 1 lit. a oraz lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i lit. d, art. 32 ust. 2 RODO i nałożył na M. karę pieniężną w wysokości 2.830.410 PLN (równowartość 660 000 EUR), według średniego kursu euro ogłoszonego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia 2019 r. Jako podstawę prawną decyzji organ wskazał art. 104 § 1 ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096, ze zm.) zwanej dalej: "k.p.a.", art. 7 ust. 1 i 2, art. 60, art. 101, art. 103 u.o.d.o., w związku z art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 6 ust. 1, art. 7 ust. 1, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i art. 32 ust. 2, art. 58 ust. 2 lit. i oraz art. 83 ust. 3, art. 83 ust. 4 lit. a, art. 83 ust. 5 lit. a RODO.

W uzasadnieniu decyzji Prezes UODO wskazał, że skarżąca naruszyła zasadę poufności danych, stosując nieskuteczny środek uwierzytelniania i przyczyniając się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do panelu pracownika. Z uwagi na dostęp wielu osób do panelu, w którym znajdują się dane transakcji poszczególnych klientów, jak również biorąc pod uwagę zagrożenia związane z uzyskaniem nieuprawnionego dostępu do danych, niewystarczające było zastosowanie środka uwierzytelniającego wyłącznie w postaci loginu i hasła. Ponadto, jakkolwiek spółka korzystała z zewnętrznych audytorów bezpieczeństwa i wdrażała ich rekomendacje, to w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności oraz nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika.

Na poparcie powyższego stanowiska Prezes UODO odwołał się do normy PN-EN ISO/IEC 27001:2017-06, która wskazuje, że zapewnienie dostępu uprawnionym użytkownikom i zapobieganie nieuprawnionemu dostępowi do systemów i usług to jeden z wzorcowych elementów bezpieczeństwa. Ponadto stosowanie mechanizmu uwierzytelnienia dwuetapowego dla systemów obejmujących dostęp do danych osobowych rekomenduje Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) w swoich wytycznych dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r. z uwzględnieniem ww. normy (w wersji z 2013 r.) oraz przepisów RODO. Norma PN-ISO/IEC 29115:2017-07 ("Technika informatyczna -- Techniki bezpieczeństwa -- Ramy uzasadnionej pewności poziomów uwierzytelnienia"), wskazuje możliwe konsekwencje i skutki niepowodzenia uwierzytelnienia w zależności od zastosowanego poziomu m.in. nieuprawnione ujawnienie poufnych informacji czy strata finansowa. Na zasadność stosowania prawidłowo dobranych środków technicznych w zakresie kontroli dostępu i uwierzytelniania wskazuje również Fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania. W swoim dokumencie "OWASP Top 10 – 2017" rekomenduje ona stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń.

Dalej organ podkreślił, że w stanie faktycznym przedmiotowej sprawy ryzyko, dotyczyło zagrożenia polegającego na zastosowaniu metody zwanej phishingiem, mającej na celu wyłudzenie danych, m.in. uwierzytelniających do konta bankowego poprzez podszycie się pod spółkę w wiadomościach SMS i wykorzystanie faktu dokonania zamówienia przez klienta. Nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności, których dane są przetwarzane przez spółkę, przyczyniło się do zdarzenia polegającego na uzyskaniu nieuprawnionego dostępu do danych klientów z systemu bazodanowego spółki. Co więcej, spółka od października 2018 r. do stycznia 2019 r. nie posiadała wiedzy na temat przyczyn zwiększonego przesyłu danych. W stanie faktycznym przedmiotowej sprawy spółka tylko częściowo wywiązała się z ciążącego na niej obowiązku zapewnienia poufności danych, weryfikując wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu.

Jako osobne uchybienie Prezes UODO zakwalifikował naruszenie przez skarżącą zasady zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych. Spółka pozyskiwała dane z wniosków ratalnych, co miało ułatwić klientom występowanie z kolejnymi wnioskami o zakupy ratalne (autouzupełnianie formularza ratalnego). Jak wskazano w wyjaśnieniach, dane te nie były wykorzystywane przez spółkę w żadnym innym własnym celu. Spółka nie jest w stanie dokładnie wskazać daty uruchomienia funkcjonalności zapisywania danych z wniosków ratalnych (prawdopodobnie w roku 2016) oraz nie posiada w tym zakresie udokumentowanej analizy procesu przetwarzania danych. Z materiału dowodowego wynika, że około 15 grudnia 2018 r. spółka, na ustne polecenie wiceprezesa spółki, usunęła bazę danych zawierającą dane klientów z tzw. "wniosków ratalnych". Nie przeprowadzono w tym zakresie szczegółowej analizy oraz nie udokumentowano usunięcia danych. W odniesieniu do tego naruszenia organ wskazał, że spółka nie była w stanie wykazać od kiedy zbierała dane osobowe w celu ułatwienia wypełniania przyszłych wniosków kredytowych i w tym zakresie nie przedstawiła oświadczeń o wyrażeniu zgody na takie przetwarzanie. Z uwagi na to, że zgody były pozyskiwane po rozpoczęciu obowiązywania RODO, a sam proces trwał od 2016 r., należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej.

W konsekwencji organ uznał, iż w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na spółkę administracyjnej kary pieniężnej. W odniesieniu do wysokości sankcji Prezes UODO wskazał, że wziął pod uwagę okoliczności wskazane w art. 83 ust. 2 lit. a)-k) RODO, w tym m.in. fakt niedopełnienia przez spółkę obowiązku zastosowania odpowiednich środków technicznych i organizacyjnych, znaczną wagę i poważny charakter naruszenia, nieumyślny charakter naruszenia powstałego na skutek niedochowania przez spółkę należytej staranności. W ocenie organu na korzyść spółki przemawia stosunkowo krótki okres naruszenia, jednakże nie mógł on być wzięty pod uwagę, ponieważ naruszenie to dotyczyło danych znacznej liczby osób fizycznych. Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.: podjęcie przez spółkę wszelkich możliwych działań, mających na celu usunięcie naruszenia, dobrą współpracę ze strony spółki z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków, przesłanie wyznaczonym terminie wyjaśnień i udzielenie odpowiedzi na wystąpienie organu, jak i brak dowodów, aby osoby, których dane dotyczą, doznały szkody majątkowej, z tym zastrzeżeniem, że już samo naruszenie poufności danych stanowi szkodę niemajątkową (krzywdę). Ponadto zdaniem organu nie zostało stwierdzone, żeby spółka uprzednio dopuściła się naruszenia przepisów RODO, które miałoby istotne znaczenie dla niniejszego postępowania.

Uwzględniając powyższe okoliczności, zdaniem Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. będzie w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Nałożona kara będzie skuteczna, albowiem doprowadzi do stanu, w którym spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych. Zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, w tym zwłaszcza jego wagi, kręgu dotkniętych nim osób fizycznych oraz ryzyka, jakie w związku z naruszeniem ponoszą, jak i proporcjonalna do sytuacji finansowej spółki. Administracyjna kara pieniężna spełni także w tych konkretnych okolicznościach funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez spółkę przepisów RODO, ale i prewencyjną, jako że sama spółka, jak i inni administratorzy będą skutecznie zniechęceni do naruszania przepisów o ochrony danych osobowych w przyszłości.

Skargę na ww. decyzję wniosła M. Sp. z o.o. z siedzibą w K., domagając się uchylenia zaskarżonej decyzji oraz zasądzenia kosztów postępowania, w tym kosztów zastępstwa procesowego według norm przepisanych. W skardze zawarto zarówno zarzuty naruszenia przepisów postępowania, jak i prawa materialnego. Zawarto w niej także wniosek o zwrócenie się przez Sąd z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym, czy sądy administracyjne w Polsce zapewniają skuteczną ochronę prawną przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 RODO oraz w motywie (143) preambuły RODO, w sytuacji, w której postępowanie przed Prezesem Urzędu jest jednoinstancyjne i brak jest organu lub sądu, który oceni rozstrzygnięcie Prezesa Urzędu merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, podczas gdy art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych gwarantuje podmiotowi ukaranemu prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie. Organ podtrzymał dotychczasowe stanowisko w sprawie.

W uzasadnieniu wskazanego na wstępie wyroku Sąd pierwszej instancji wskazał, po pierwsze, że nie znalazł podstaw do skierowania pytania prejudycjalnego do TSUE. Skoro decyzje o nałożeniu sankcji podlegają zaskarżeniu do sądu administracyjnego, to nie sposób uznać, iż przyjęte reguły naruszają prawo do sądu. Na poparcie tego stanowiska Sąd pierwszej instancji powołał orzecznictwo Trybunału Konstytucyjnego i wskazał, że kary pieniężne nakładane przez organy administracji nie mogą być utożsamiane z grzywną lub innymi instytucjami prawa karnego, zaś umocowanie organów w tym przedmiocie nie może być postrzegane jako wymierzanie sprawiedliwości.

Przechodząc do oceny legalności zaskarżonej decyzji Sąd pierwszej instancji przyjął, że zawiera ona poprawnie sformułowane rozstrzygnięcie. W ocenie Sądu sentencja decyzji jest zrozumiała, zaś z uzasadnienia wynikają podstawy prawne rozstrzygnięcia. Sąd zwrócił uwagę, że w zawiadomieniu o wszczęciu postępowania organ wskazał, jakie naruszenia stwierdzone w trakcie kontroli są przedmiotem postępowania.

Dalej Sąd Wojewódzki wskazał, iż podziela stanowisko Prezesa UODO, że najpoważniejszym naruszeniem, determinującym wymierzoną karę, było naruszenie zasady poufności wyrażonej w art. 5 ust. 1 lit. f w zw. z art. 32 ust. 1 lit. b i d w zw. z art. 32 ust. 2 RODO. Organ miał podstawy przyjąć, że przyczyną uzyskania nieuprawnionego dostępu do panelu pracownika był nieskuteczny środek uwierzytelniania, którym był wyłącznie login i hasło. Zdaniem Sądu skarżąca niewystarczająco oceniła zdolność do ciągłego zapewnienia poufności i nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika. Nieskuteczne monitorowanie potencjalnych zagrożeń dla praw i wolności osób, których dane były przetwarzane przez spółkę, przyczyniło się do nieuprawnionego dostępu do danych klientów z jej systemu bazodanowego. Sąd podkreślił, iż skarżąca – mając na uwadze, że przetwarza dane osobowe ponad 2.200.000 użytkowników – winna była skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności osób, których dane dotyczą. Spółka jedynie częściowo wywiązała się z obowiązku weryfikacji doboru i poziomu skuteczności stosowanych środków technicznych i organizacyjnych. Skarżąca nie podejmowała bowiem stosownych działań w kierunku oceny odpowiednich środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, do czego była zobowiązana przez art. 32 ust. 1 zd. 1 i art. 25 ust. 1 RODO.

WSA w Warszawie wskazał, iż RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia przez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń.

Ponadto, zdaniem Sądu pierwszej instancji organ prawidłowo przyjął, iż skarżąca naruszyła art. 5 ust. 1 lit. a oraz art. 5 ust. 2 RODO, czyli zasady legalności i rzetelności oraz zasady rozliczalności przy przetwarzaniu danych osobowych pochodzących z wniosków ratalnych. Za niewystarczające Sąd uznał wyjaśnienia spółki, dotyczące zakończonego procesu przetwarzania danych z wniosków ratalnych, aby uznać, że samo przetwarzanie odbywało się zgodnie z przepisami prawa. Skoro do przetwarzania danych osobowych prawodawca zaliczył także ich usuwanie, to proces usuwania danych przez administratora musi odpowiadać wymogom wskazanym w art. 5 RODO. Tymczasem dokonany przez spółkę proces usuwania bazy danych z wniosków ratalnych nie był poprzedzony żadną udokumentowaną analizą oraz nie został dokonany na podstawie obowiązujących w spółce procedur określających zasady i okresy usuwania danych osobowych wynikające z przepisów prawa lub celów administratora.

WSA w Warszawie uznał, iż zastosowana przez organ kara pieniężna w wysokości 2.830.410 PLN spełnia funkcje określone w art. 83 ust. 1 RODO, będąc skuteczną, proporcjonalną i odstraszającą

. Sąd uznał za prawidłowe uzasadnienie wysokości kary, podkreślając że organ wskazał przesłanki, na jakich się oparł, biorąc pod uwagę charakter, wagę i czas trwania naruszenia i okoliczności zarówno obciążające, jak i łagodzące wymiar tej kary.

W odniesieniu do kwestii oddalenia przez organ wniosku skarżącej o przeprowadzenie dowodu z opinii biegłego Sąd wskazał, że skoro organ dysponował dostatecznym materiałem dowodowym w sprawie, to prowadzenie wszelkich innych dowodów, w świetle poczynionych ustaleń, było zbędne.

Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie przyjął, że wszystkie podniesione zarzuty, zarówno dotyczące naruszenia prawa materialnego, jak i procesowego, okazały się chybione i brak było podstaw do uznania, że organ dopuścił się innych naruszeń prawa. Wobec tego Sąd oddalił skargę uznając, że nie zasługuje ona na uwzględnienie.

Skargę kasacyjną od powyższego wyroku wniosła M. Sp. z o.o. z siedzibą w K., zaskarżając go w całości. Zarzuciła naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy, tj.

1. art. 151 p.p.s.a. w zw. z art. 107 § 1 pkt 5) k.p.a. w zw. z art. 8 § 1 i § 2 k.p.a., przez oddalenie skargi w sytuacji, gdy sformułowanie rozstrzygnięcia decyzji cechuje się wadliwą konstrukcją prowadzącą do ograniczenia prawa strony do obrony oraz wykluczenia możliwości kontroli instancyjnej decyzji, przy czym wadliwość ta polega na braku określenia przez Prezesa UODO w rozstrzygnięciu przez jakie działanie lub zaniechanie (konkretne fakty - czyn) M. dopuściło się naruszenia przepisów prawa wymienionych w dalszej części decyzji, za które to stwierdzone naruszenia organ nałożył karę pieniężną, co w konsekwencji uniemożliwia określenie zakresu przedmiotowego sprawy objętej powagą sprawy rozstrzygniętej, obronę M. w toku kontroli instancyjnej decyzji oraz prawidłową kontrolę decyzji przez sąd administracyjny, tym bardziej, że dotychczasowa praktyka Prezesa UODO przy wydawaniu decyzji w przedmiocie nałożenia kary administracyjnej określała w rozstrzygnięciu czyn stanowiący delikt administracyjny (https://uodo.gov.pl/pl/p/decyzje),

2. art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. w kontekście spełnienia przez skarżącą wymogów określonych w art. 32 ust. 1 RODO, przez oddalenie skargi w sytuacji gdy organ zaniechał w toku postępowania administracyjnego wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. przedstawionych przez skarżącą stosowanych środków bezpieczeństwa, którego wszechstronna ocena powinna doprowadzić zarówno organ, jak i WSA do ustalenia, że skarżąca wdrożyła środki techniczne służące ochronie przetwarzanych danych osobowych, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżąceą przesłanki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej,

3. art. 151 p.p.s.a. w zw. z art. 78 § 1 k.p.a. w zw. z art. 84 § 1 k.p.a. w zw. z art. 7 k.p.a. i art. 77 § 1 k.p.a. w kontekście art. 24 ust. 1 RODO i art. 32 ust. 1 RODO, przez oddalenie skargi w sytuacji, gdy PUODO oddalił wniosek dowodowy M. o przeprowadzenie dowodu z opinii biegłego, na okoliczność:

1) ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności M. w 2018 r.,

2) oceny czy środki techniczne i organizacyjne stosowane przez M. odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności M. w 2018 r.,

3) oceny, czy środki techniczne i organizacyjne stosowane przez M. były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, co mogło mieć istotny wpływ na wynik sprawy, ponieważ WSA zaakceptował ustalenia, które PUODO poczynił samodzielnie - które de facto stanowiły twierdzenia organu niepoparte jakimkolwiek materiałem dowodowym (np.: wykonana przez biegłych analiza ryzyka) - wymagające posiadania wiadomości specjalnych zespołu biegłych, do których na etapie postępowania administracyjnego skarżąca nie mogła się odnieść, co w konsekwencji doprowadziło do uznania przez PUODO, że w warunkach określonych w art. 32 RODO "odpowiednim środkiem technicznym i organizacyjnym" dla M. było wprowadzenie podwójnego uwierzytelniania, podczas gdy dopiero opinia biegłego - jako jeden ze środków dowodowych - stanowić może podstawę dla tak kategorycznego ustalenia organu, co doprowadziło do poczynienia przez organ błędnych ustaleń faktycznych,

4. art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a. w zw. z art. 77 § 4 k.p.a., art. 80 k.p.a., art. 81 k.p.a., art. 84 § 1 k.p.a. w zw. z art. 8 § 1 k.p.a. i art. 10 § 1 k.p.a., przez oddalenie skargi w sytuacji, gdy organ poczynił ustalenia faktyczne oraz oceny w oparciu o:

1) normy PN-EN ISO/IEC 27001:2071-06 (s. 15 decyzji),

2) wytyczne Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji z 2016 r. (s. 16 decyzji),

3) "dokument OWASP Top 10 - 201T (s. 16 decyzji),

4) NIST 800:63B (s. 16 decyzji),

5) raporty roczne CERT Polska za 2016, 2017 i 2018 rok (s. 17 decyzji),

w sytuacji gdy w aktach postępowania administracyjnego nie znajduje się materiał źródłowy (dowodowy), który pozwalałby na (I) poczynienie wiążących dla skarżącej ustaleń zawartych na stronach od 15 do 17 uzasadnienia decyzji, (II) przeprowadzenie przez skarżącego oceny materiału źródłowego i prawidłowości ustaleń organu, a wręcz (III) wypowiedzenie się co do tego materiału źródłowego w trybie art. 10 § 1 k.p.a., co w konsekwencji doprowadziło do poczynienia przez organ ustaleń z materiału dowodowego zebranego poza postępowaniem administracyjnym,

5. art. 151 p.p.s.a. w zw. z art. 7 k.p.a., 77 § 1 k.p.a., 80 k.p.a., przez oddalenie skargi, w sytuacji, gdy organ dokonał dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, polegającą na stwierdzeniu, że spółka w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności oraz nie uwzględniła ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika, podczas gdy prawidłowa ocena materiału dowodowego zebranego w sprawie, w tym m.in. zewnętrznych raportów bezpieczeństwa, por. Załącznik nr [...], [...], [...] do protokołu kontroli powinna doprowadzić do ustalenia, że spółka nie dopuściła się naruszenia w tym zakresie, co w konsekwencji doprowadziło do nieuprawnionego stwierdzenia naruszenia art. 32 ust. 1 lit. b) i d) RODO oraz art. 32 ust. 2 RODO,

6. art. 151 p.p.s.a. w zw. z art. 7 k.p.a., 77 § 1 k.p.a., 80 k.p.a., przez oddalenie skargi, w sytuacji, gdy organ dokonał dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, polegającej na stwierdzeniu przez organ w treści decyzji, że spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk, podczas gdy w toku postępowania organ nie przeprowadził postępowania dowodowego na tę okoliczność i nie dokonał żadnych ustaleń faktycznych w zakresie ryzyka naruszenia praw i wolności osób fizycznych,

7. art. 151 p.p.s.a. w zw. z art. 7 k.p.a., 77 § 1 k.p.a., 80 k.p.a., przez oddalenie skargi, w sytuacji, gdy organ nie dokonał wszechstronnej oceny materiału dowodowego oraz nie wywiódł logicznych i spójnych wniosków ze zgromadzonego przez organ materiału dowodowego, przez przyjęcie przez organ, że:

1) "Naruszenie dotyczyło około 2.200.000 (ok. dwóch milionów dwustu tysięcy) użytkowników" - s. 5,

2) "Uzyskania dostępu do bazy danych wszystkich klientów spółki przez osoby nieuprawnione. Uzyskanie dostępu do panelu pracowników spółki oraz do danych wszystkich klientów z systemu bazodanowego spółki skutkowało zmaterializowaniem się ryzyka naruszenia praw i wolności osób fizycznych, których dane przetwarzane są przez spółkę" - s. 14,

3) "stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2.200.000 osób, do których danych dostęp miała osoba, bądź osoby nieuprawnione" - s. 23,

4) "wyciek danych 2.200.000 (ok. dwóch milionów dwustu tysięcy) osób" - s. 24, podczas, gdy zgromadzony materiał dowodowy prowadzi do wniosku odmiennego, tj. brak stanu naruszenia, wycieku 2.200.000 użytkowników (osób) oraz przestępczego skopiowania jedynie wycinka bazy danych klientów skarżącego - 600 osób, gdyż jak organ prawidłowo ustalił (punkt 20 ustaleń faktycznych), że "nie stwierdzono przypadku eksportu danych z serwera bazy danych z wykorzystaniem modułów służących do eksportu konkretnej tabeli", tj. pobrania pełnej bazy danych skarżącej w liczbie około 2.200.000 osób, co w konsekwencji przełożyło się na błędne ustalenie stanu faktycznego sprawy w zakresie okoliczności wpływających na ustalenie oraz wysokość kary administracyjnej,

8. art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 81a k.p.a. przez oddalenie skargi w sytuacji, gdy organ przyjął, że spółka nie zbierała prawidłowo zgód na przetwarzanie danych przed 25 maja 2018 r., podczas gdy prawidłowa ocena materiału dowodowego powinna doprowadzić do wniosku, że okoliczność ta nie została udowodniona w toku postępowania administracyjnego, a organ nie podjął czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego, w tym w szczególności w toku postępowania kontrolnego oraz później w toku postępowania administracyjnego Prezes UODO nie zwrócił się do spółki o wyjaśnienia w przedmiotowym zakresie, w szczególności Prezes UODO nie zwrócił się do spółki o przedstawienie treści zbieranych zgód na przetwarzanie danych osobowych, co w konsekwencji doprowadziło do nieprawidłowego uznania przez organ, że spółka naruszyła zasady legalności i rzetelności wyrażone w art. 5 ust. 1 lit. 1 RODO oraz zasady rozliczalności z art. 7 ust. 2 RODO oraz nałożenia na spółkę kary administracyjnej,

9. art. 151 p.p.s.a. w zw. z art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a., przez oddalenie skargi w sytuacji, gdy organ sporządził uzasadnienie w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia, polegający na

1) braku wyczerpującego wskazania przez organ faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, a przyjmowaniu przez organ założeń niepopartych ani dowodami ani uzasadnieniem logicznym, lub dokumentami niestanowiącymi materiału dowodowego zgromadzonego w sprawie ani niebędących źródłami prawa, przez m.in.:

a) niepopartą dowodami i argumentacją ocenę, że środki zabezpieczające stosowane przez M. były nieadekwatne do ryzyk i niezgodne z przepisami,

b) niepopartą dowodami i argumentacją ocenę, że zastosowanie przez spółkę środka uwierzytelniającego wyłącznie w postaci loginu i hasła było niewystarczające (str. 15),

c) niepopartą dowodami i argumentacją ocenę, że w sposób niewystarczający oceniono zdolność do ciągłego zapewniania poufności oraz nie uwzględniono ryzyka związanego z uzyskaniem nieuprawnionego dostępu do panelu pracownika (str. 15),

d) niepopartą dowodami ocenę, że spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk (str. 19),

e) niepopartą dowodami i argumentacją ocenę, że wcześniejsze wdrożenie i wprowadzenie dodatkowych środków, m.in. dwuskładnikowego uwierzytelniania znacząco zminimalizowałoby ryzyko naruszenia praw i wolności osób fizycznych,

f) nieumotywowane argumentacją i dowodami założenie przez organ, że skoro "zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679, a sam proces trwał od 2016 r. (wyjaśnienia spółki), należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej" (s. 21 decyzji),

2) braku wskazania przez organ wyliczenia takiej a nie innej wysokości kary administracyjnej oraz brak uzasadnienia wysokości nałożonej kary administracyjnej, a wskazanie przez organ jedynie tez nieznajdujących oparcia w zgromadzonym materiale dowodowym (m.in. "Zdaniem Prezesa Urzędu Ochrony Danych Osobowych nałożona na Spółkę kara będzie skuteczna, albowiem doprowadzi do stanu, w którym Spółka stosowała będzie takie środki techniczne i organizacyjne, które zapewnią przetwarzanym danym stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw i wolności osób, których dane dotyczą oraz wadze zagrożeń towarzyszącym procesom przetwarzania tych danych osobowych." - s. 27 decyzji - podczas gdy M. już w dwa dni po wykryciu naruszenia podjęła prace nad wprowadzeniem przedmiotowych środków technicznych i zabezpieczających i wdrożyła je w przeciągu 2 tygodni; "kara pieniężna jest również proporcjonalna do jej sytuacji finansowej i nie będzie stanowiła nadmiernego dla niej obciążenia" s. 27 decyzji - podczas gdy organ w żaden sposób nie odniósł się do sytuacji finansowej M.,

3) sprzeczności wewnętrznych uzasadnienia, w tym m.in. w punkcie 20 ustaleń faktycznych organ ustalił, że "nie stwierdzono przypadku eksportu danych z serwera bazy danych z wykorzystaniem modułów służących do eksportu konkretnej tabeli", podczas gdy już w lit. d) na s. 24 decyzji organ stwierdził, że zaszedł "wyciek danych 2.200.000 osób",

- co w konsekwencji uniemożliwia realną kontrolę merytoryczną decyzji.

Ponadto M. Sp. z o.o. z siedzibą w K. zarzuciła naruszenie przepisów prawa materialnego, tj.:

10. art. 151 p.p.s.a. w zw. z art. 32 ust. 1 i 2 RODO polegające na przyjęciu, że z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych (str. 14), podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku,

11. art. 151 p.p.s.a. w zw. z art. 24 ust. 1 RODO oraz 32 ust. 1 i 2 RODO, przez ich niewłaściwe zastosowanie tj. formułowanie ocen dotyczących odpowiedniości/nieodpowiedniości technicznych i organizacyjnych środków bezpieczeństwa bez uprzedniej oceny ryzyka, w szczególności przez przyjęcie, że stosowane przez skarżącą techniczne i organizacyjne środki bezpieczeństwa były nieodpowiednie (tj. zdaniem organu niewystarczające), zaś wskazany przez organ środek bezpieczeństwa w postaci podwójnego uwierzytelnienia byłby odpowiedni (z uwzględnieniem stanu wiedzy technicznej, kosztu wdrożenia oraz charakteru, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw i wolności osób fizycznych), podczas gdy organ (I) nie zakwestionował merytorycznie oceny ryzyka dokonanej przez skarżącą, (II) formułował oceny dotyczące ryzyka w sposób arbitralny, w szczególności bez udziału biegłych, bez określenia metody oceny ryzyka oraz bez oparcia formułowanych ocen w materiale dowodowym, (III) zaniechał przeprowadzenia postępowania administracyjnego pod kątem oceny ryzyka dokonanej przez skarżącą i oceny jej prawidłowości,

12. art. 151 p.p.s.a. w zw. z art. 5 ust. 2 RODO w zw. z art. 7 ust. 1 oraz w zw. z art. 11 ust. 1 RODO przez ich błędną wykładnię i przyjęcie, że spółka ma obowiązek wykazać legalność przetwarzania danych osobowych, pomimo że proces przetwarzania danych osobowych został zakończony, podczas gdy przepisy RODO nakazują wykazać rozliczalność, w tym wykazanie podstawy prawnej oraz prawidłowość zebranych zgód, wyłącznie względem danych aktualnie przetwarzanych przez administratora procesów przetwarzania.

W oparciu o tak sformułowane zarzuty M. Sp. z o.o. z siedzibą w K. wniosła o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi na decyzję przez uchylenie decyzji w całości. Ewentualnie wniosła o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania WSA w Warszawie. Ponadto wniosła o zasądzenie od organu na rzecz M. kosztów sądowych, w tym kosztów zastępstwa procesowego według norm przepisanych.

W skardze kasacyjnej spółka wniosła także o zwrócenie się przez Sąd z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym: "Czy sądy administracyjne w Polsce, które dokonują kontroli legalności zaskarżonego aktu z perspektywy uwzględniającej faktyczne podstawy jego wydania, tj. kontroli realizacji i przestrzegania przez organ orzekający w sprawie wiążących go reguł proceduralnych (tj. w szczególności nie ustalają stanu faktycznego, nie orzekają merytorycznie i nie mają możliwości wydania wyroku reformatoryjnego), zapewniają skuteczną ochronę prawną przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego, tj. wykonują pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy, o której mowa w art. 78 ust. 1 RODO oraz w motywie (143) preambuły RODO, w sytuacji, w której postępowanie przed Prezesem UODO jest jednoinstancyjne i brak jest organu lub sądu, który oceni rozstrzygnięcie Prezesa UODO merytorycznie lub ma kompetencje do dokonywania ustaleń faktycznych, zaś zgodnie z art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności oraz art. 47 Karty Praw Podstawowych podmiot ukarany powinien mieć prawo do rozstrzygnięcia sprawy przez sąd posiadający pełną jurysdykcję w sprawie?"

W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych osobowych wniósł o jej oddalenie.

Zarządzeniem z 8 grudnia 2022 r. Przewodnicząca Wydziału III Izby Ogólnoadministracyjnej na podstawie art. 15zzs4 ust. 3 w zw. z ust. 1 ustawy z dnia 2 marca 2020 r. o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych (Dz.U. z 2021 r., poz. 2095 ze zm.) skierowała sprawę na posiedzenie niejawne, informując strony o możliwości uzupełnienia argumentacji uzasadnienia skargi kasacyjnej albo żądania jej oddalenia.

Zarówno skarżąca kasacyjnie M., jak i Prezes Urzędu Ochrony Danych Osobowych, skorzystali z ww. możliwości i złożyli pisma procesowe, w których przedstawili uzupełniającą argumentację i podtrzymali dotychczasowe stanowiska.

Naczelny Sąd Administracyjny zważył, co następuje:

Sprawa została skierowana do rozpoznania na posiedzeniu niejawnym zarządzeniem Przewodniczącej Wydziału III Izby Ogólnoadministracyjnej, w oparciu o art. 15zzs4 ust. 3 w zw. z ust. 1 ustawy o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, innych chorób zakaźnych oraz wywołanych nimi sytuacji kryzysowych. Strony w niniejszej sprawie zostały powiadomione o skierowaniu sprawy na posiedzenie niejawne i miały możliwość zajęcia stanowiska, co oznacza, że standardy ochrony praw stron i uczestników zostały zachowane. Powyższe zaś przesądziło o przyjęciu przez Naczelny Sąd Administracyjny, że rozpoznanie niniejszej sprawy na posiedzeniu niejawnym jest dopuszczalne.

Stosownie do art. 183 § 1 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r. poz. 329 ze zm.), zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.

Na wstępie należy odnieść się do wniosku skarżącej kasacyjnie o zwrócenie się przez Naczelny Sąd Administracyjny z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym, w przedmiocie wykładni art. 78 ust. 1 RODO w kontekście motywu 143 preambuły RODO w odniesieniu do modelu kontroli sądowej decyzji. W ocenie skarżącej kasacyjnie przyjęty w Polsce system kontroli legalności decyzji organu nadzorczego, oparty na tzw. kasacyjnym modelu orzekania sądów administracyjnych, nie zapewnia pełnej jurysdykcji w sprawie, stosownie do treści art. 78 ust. 1 RODO. W ocenie strony postępowania brak jest skutecznego środka ochrony prawnej przed sądem przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej. Tymczasem z ww. przepisu RODO, jak i z art. 6 EKPC oraz art. 47 KPP, wynika, iż podmiot ukarany powinien mieć możliwość zainicjowania kontroli sprawowanej przez sąd posiadający kompetencję do ustalenia stanu faktycznego sprawy oraz wydania orzeczenia reformatoryjnego.

Stosownie do art. 267 Traktatu o funkcjonowaniu Unii Europejskiej (wersja skonsolidowana z 2012 r. - Dz. Urz. U.E. z dnia 26 października 2012 r. Nr C 326 s. 1 i nast.) zwanego dalej "TFUE" "Trybunał Sprawiedliwości Unii Europejskiej jest właściwy do orzekania w trybie prejudycjalnym:

a) o wykładni Traktatów;

b) o ważności i wykładni aktów przyjętych przez instytucje, organy lub jednostki organizacyjne Unii.

W przypadku gdy pytanie z tym związane jest podniesione przed sądem jednego z Państw Członkowskich, sąd ten może, jeśli uzna, że decyzja w tej kwestii jest niezbędna do wydania wyroku, zwrócić się do Trybunału z wnioskiem o rozpatrzenie tego pytania.

W przypadku gdy takie pytanie jest podniesione w sprawie zawisłej przed sądem krajowym, którego orzeczenia nie podlegają zaskarżeniu według prawa wewnętrznego, sąd ten jest zobowiązany wnieść sprawę do Trybunału.

Jeżeli takie pytanie jest podniesione w sprawie zawisłej przed sądem krajowym dotyczącej osoby pozbawionej wolności, Trybunał stanowi w jak najkrótszym terminie".

Naczelny Sąd Administracyjny, jako sąd krajowy, którego wyroki są prawomocne i nie podlegają zaskarżeniu, jest co do zasady nie tylko uprawniony, ale i zobowiązany do zwrócenia się do TSUE z wnioskiem o wydanie orzeczenia prejudycjalnego. Jednakże art. 267 TFUE stanowi, iż przesłanką zadania pytania na podstawie wskazanego przepisu jest jego "niezbędność" do wydania wyroku. W ocenie NSA w składzie orzekającym przesłanka ta w rozpatrywanej sprawie nie została spełniona. W doktrynie wskazuje się, że niezbędność "[o]znacza to, że musi istnieć zależność pomiędzy pytaniem sądu krajowego a przedmiotem postępowania przed sądem krajowym. Innymi słowy, sąd krajowy stosuje w danym postępowaniu konkretną normę prawa unijnego, a jej wykładnia lub stwierdzenie (nie)ważności są niezbędne do wydania rozstrzygnięcia. Na powyższej podstawie przyjmuje się, że TSUE nie ma kompetencji do udzielenia odpowiedzi na postawione pytanie, jeżeli wspomniana zależność nie zachodzi" (tak M. Szpunar [w:] Traktat o funkcjonowaniu Unii Europejskiej. Komentarz. Tom III (art. 223-358), red. D. Kornobis-Romanowska, J. Łacny, A. Wróbel, Warszawa 2012, art. 267, pkt 8). Z orzecznictwa TSUE wynika, iż niespełnienie przesłanki niezbędności z art. 267 TFUE ma miejsce m.in. w przypadku problemu mającego charakter hipotetyczny. W wyroku z 13 marca 2001 r., C-379/98, PreussenElektra AG v. Schleswag AG, LEX nr 83264, Trybunał wywiódł, że "Odmowa orzekania w przedmiocie pytania prejudycjalnego postawionego przez sąd krajowy jest możliwa tylko wtedy, jeżeli widać w sposób wyraźny, że wykładnia przepisu prawa wspólnotowego, o którą wnosi sąd krajowy, nie ma żadnego związku ze stanem faktycznym czy przedmiotem głównego sporu lub też gdy problem ma charakter hipotetyczny (...)". O tym, czy problem sformułowany w pytaniu prejudycjalnym ma charakter realny, czy hipotetyczny, decyduje całokształt postępowania przed sądem krajowym. Kwestię tę wyjaśnił TSUE, wskazując że wyrażenie "niezbędności do wydania wyroku" należy "interpretować w ten sposób, że obejmuje ono całe postępowanie prowadzące do wydania wyroku przez sąd krajowy, tak aby Trybunał był w stanie dokonać wykładni wszystkich przepisów proceduralnych prawa Unii, które sąd krajowy jest zobowiązany stosować w celu wydania orzeczenia" (Wyrok TSUE z 17 lutego 2011 r., C-283/09, Artur Weryński v. Mediatel 4B spółce z o.o., LEX nr 736411).

Odnosząc te ustalenia do okoliczności sprawy rozpoznawanej przez NSA przedstawić należy, że Sąd ten jest związany granicami skargi kasacyjnej. Związanie Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej polega na tym, że jest on władny badać naruszenie jedynie tych przepisów, które zostały wyraźnie wskazane przez stronę skarżącą. Ze względu na ograniczenia wynikające z powyższych regulacji prawnych, Naczelny Sąd Administracyjny nie może we własnym zakresie konkretyzować zarzutów skargi kasacyjnej, uściślać ich, ani w inny sposób korygować (zob. wyrok NSA z 8 grudnia 2015 r., II OSK 909/14). Naczelny Sąd Administracyjny nie jest władny badać, czy zaskarżony wyrok nie narusza innych przepisów niż wskazane w podstawach, na których środek oparto (zob. wyrok NSA z 25 listopada 2014 r., II GSK 1253/13). Nie ma on kompetencji do konkretyzowania czy uzupełniania zarzutów kasacyjnych, bądź ich uzasadnienia, a brak konkretnego i popartego stosowną argumentacją zakwestionowania stanowiska wyrażonego w danej kwestii przez wojewódzki sąd administracyjny powoduje związanie Naczelnego Sądu Administracyjnego poglądem sądu pierwszej instancji w danym zakresie i niemożność zbadania jego zasadności (zob. wyrok NSA z 21 stycznia 2015 r., II FSK 3171/12 i wyrok NSA z 6 grudnia 2012 r., II OSK 1426/11). Zatem Naczelny Sąd Administracyjny upoważniony jest do oceny zaskarżonego orzeczenia wyłącznie w granicach przedstawionych we wniesionej skardze kasacyjnej (por. wyrok NSA z 11 grudnia 2012 r., II OSK 2724/12).

W orzecznictwie wielokrotnie powtarzano w związku z powyższym, że związanie Naczelnego Sądu Administracyjnego podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze kasacyjnej, oznacza to konieczność powołania konkretnych przepisów prawa, którym – zdaniem skarżącego kasacyjnie – uchybił sąd, określenia, jaką postać miało to naruszenie, uzasadnienia zarzutu ich naruszenia, a w razie zgłoszenia zarzutu naruszenia prawa procesowego – wykazania dodatkowo, że to wytknięte uchybienie mogło mieć istotny wpływ na wynik sprawy. Kasacja nieodpowiadająca tym wymaganiom, pozbawiona konstytuujących ją elementów treściowych, uniemożliwia sądowi ocenę jej zasadności (zob. wyrok NSA z 29 kwietnia 2016 r., I OSK 2490/14; wyrok NSA z 14 stycznia 2015 r., I OSK 2096/13; wyrok NSA z 16 listopada 2012 r., I OSK 892/12). Przytoczenie podstawy kasacyjnej musi być przy tym precyzyjne (zob. wyrok NSA z 7 marca 2013 r., II GSK 2321/11). Naczelny Sąd Administracyjny nie może rozpoznać merytorycznie zarzutów skargi, które zostały wadliwie skonstruowane (zob. wyrok NSA z 5 sierpnia 2014 r., II FSK 2021/12). Wskazuje się, że Naczelny Sąd Administracyjny nie może uchylić zaskarżonego orzeczenia nawet wówczas, jeżeli dostrzega naruszenie przepisów prawa, które jednak nie zostało podniesione w zarzutach skargi kasacyjnej ani nie powoduje nieważności postępowania. Oddalenie skargi kasacyjnej nie oznacza zatem zawsze podzielenia wywodów Sądu pierwszej instancji, lecz świadczy o nieusprawiedliwionym charakterze zarzutów skargi kasacyjnej (zob. wyrok NSA z 28 listopada 2017 r., I OSK 1567/17).

Analiza granic postępowania kasacyjnego prowadzi do wniosku o hipotetycznym charakterze problemu sformułowanego we wniosku skarżącej kasacyjnie o wystąpienie do TSUE z pytaniem prejudycjalnym dotyczącym modelu kontroli sądowej decyzji Prezesa UODO w kontekście wymogów z art. 78 ust. 1 RODO. W skardze kasacyjnej nie sformułowano bowiem zarzutu naruszenia art. 78 ust. 1 RODO, art. 6 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności czy art. 47 Karty Praw Podstawowych. Zarzut taki był sformułowany w skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, który to Sąd odniósł się do podniesionej argumentacji i uznał ją za bezzasadną (s. 26-27 uzasadnienia wyroku). Jednakże aby Sąd kasacyjny mógł poddać powyższą ocenę kontroli instancyjnej, konieczne jest uczynienie jej przedmiotem postępowania kasacyjnego, czego w rozpatrywanej sprawie zaniechano. Naczelny Sąd Administracyjny związany podstawami kasacyjnymi nie jest władny oceniać w niniejszym postępowaniu, czy stronie skarżącej zapewniono prawo do skutecznego środka ochrony prawnej przed sądem w związku z będącą przedmiotem skargi decyzją Prezesa Urzędu Ochrony Danych Osobowych z 10 września 2019 r. nr ZSPR.421.2.2019; ZSPR.405.67.2019 w przedmiocie nałożenia kary pieniężnej w związku z przetwarzaniem danych osobowych. Naczelny Sąd Administracyjny w niniejszym postępowaniu nie orzeka o wykładni art. 78 ust. 1 RODO, art. 6 EKPC i art. 47 KPP i nie posiada kompetencji do uchylenia zaskarżonego wyroku z uwagi na potencjalne naruszenie wskazanych przepisów. W takim stanie rzeczy orzeczenie Trybunału Sprawiedliwości Unii Europejskiej zapadłe w postępowaniu z wniosku o wydanie orzeczenia prejudycjalnego dotyczyłoby problemu hipotetycznego, co przesądza o braku podstaw do zastosowania art. 267 TFUE i zwrócenia się z ww. pytaniem prejudycjalnym.

Z tych względów Naczelny Sąd Administracyjny nie uwzględnił wniosku M. Sp. z o.o. z siedzibą w K. o zwrócenie się przez Sąd z wnioskiem do Trybunału Sprawiedliwości Unii Europejskiej o wydanie orzeczenia w trybie prejudycjalnym.

Należy zatem przejść do oceny zarzutów skargi kasacyjnej. W skardze kasacyjnej sformułowano zarówno zarzuty naruszenia przepisów postępowania, jak i zarzuty naruszenia prawa materialnego. W takim stanie rzeczy w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania.

W ramach pierwszego zarzutu naruszenia art. 151 p.p.s.a. w zw. z art. 107 § 1 pkt 5) k.p.a. w zw. z art. 8 § 1 i § 2 k.p.a. skarżąca kasacyjnie zmierza do podważenia legalności zaskarżonej decyzji w sytuacji, w której nie zawiera ona wskazania w rozstrzygnięciu, przez jakie działanie lub zaniechanie (konkretne fakty - czyn) skarżąca kasacyjnie dopuściła się naruszenia przepisów prawa wymienionych w dalszej części decyzji. W ocenie skarżącej kasacyjnie Prezes UODO winien był w rozstrzygnięciu decyzji wyraźnie określić, za które naruszenia stanowiące delikt administracyjny kara została nałożona. Wskazano, że decyzji brakuje substratu faktycznego, który jest wymagany dla indywidualnego i konkretnego rozstrzygnięcia, którym jest decyzja administracyjna, tym bardziej mająca za przedmiot delikt administracyjny. Podkreślono, że organ wydając decyzję odstąpił od ukształtowanej praktyki w zakresie konstruowania rozstrzygnięcia decyzji w przedmiocie nałożenia kary administracyjnej. Skarżąca kasacyjnie zwraca uwagę, że z analizy wydawanych przez organ decyzji wynika fakt, iż organ we wszystkim decyzjach w przedmiocie nałożenia kary administracyjnej określił czyn za jaki tą karę wymierzył. Jedyne odstępstwo - wbrew obowiązkowi z art. 8 § 1 i § 2 k.p.a. - dotyczy zaskarżonej decyzji, utrzymanej przez zaskarżony wyrok.

Odnosząc się do tak postawionego zarzutu należy wyjaśnić, że stosownie do art. 107 § 1 pkt 5 k.p.a. decyzja zawiera m.in. rozstrzygnięcie. Rozstrzygnięcie jest tym elementem decyzji administracyjnej, za pośrednictwem którego organ konkretyzuje normę administracyjnego prawa materialnego. Formułując rozstrzygnięcie organ administracji doprowadza do przekształcenia abstrakcyjnej i generalnej normy prawnej w normę indywidualną oraz konkretną (tzw. podwójna konkretność decyzji administracyjnej). Wobec tego prawidłowo sformułowane rozstrzygnięcie powinno uwzględniać charakter normy prawa materialnego, konkretyzowanej w trybie k.p.a., i być z nią zgodne. Poglądy te znajdują odzwierciedlenie w tych stanowiskach doktryny, w których wskazuje się, że "[w]edług koncepcji decyzji jako aktu stosowania prawa rozstrzygnięcie to wiążące ustalenie konsekwencji stosowanego przepisu prawa materialnego; w tym sensie decyzja rozstrzyga sprawę administracyjną co do jej istoty (...). Rozstrzygnięcie, zwane także osnową lub sentencją decyzji, powinno być sformułowane jasno i precyzyjnie, tak aby było zrozumiałe dla stron bez uzasadnienia, które nie zawsze musi być składnikiem decyzji" (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2022, art. 107). Także z dotychczasowego orzecznictwa NSA wynika, iż "rozstrzygnięcie decyzji administracyjnej (...) nie może powodować wątpliwości co do faktycznego zakresu rozstrzygnięcia. (...) Nie z uzasadnienia ma wynikać konkretne rozstrzygnięcie organu, lecz z sentencji decyzji. Nie można, nawet w prawidłowym i precyzyjnym uzasadnieniu decyzji, doszukiwać się władczego rozstrzygnięcia o prawach lub obowiązkach strony" (tak Naczelny Sąd Administracyjny w wyroku z 20 października 2020 r., I OSK 1670/20, LEX nr 3152680).

Przenosząc te rozważania na okoliczności rozpoznawanej sprawy trzeba jednak stwierdzić, iż organ nie naruszył art. 107 § 1 pkt 5) k.p.a. W zaskarżonej decyzji Prezes UODO dokonał konkretyzacji sankcji administracyjnej, o której mowa w art. 83 ust. 3, ust. 4 lit. a i ust. 5 lit. a RODO. Nakładając administracyjną karę pieniężną organ ingeruje w sytuację prawną (sytuację majątkową) podmiotu ponoszącego odpowiedzialność administracyjną. Wskazany wyżej artykuł określa normę sankcjonującą. Konkretyzacja abstrakcyjnej i generalnej normy sankcjonującej polega na nałożeniu na adresata decyzji danej sankcji prawnej. Z rozstrzygnięcia decyzji Prezesa UODO z 10 września 2019 r. nr ZSPR.421.2.2019; ZSPR.405.67.2019 w przedmiocie nałożenia kary pieniężnej jasno wynika, ze organ ten nałożył na stronę skarżącą karę pieniężną w wysokości 2.830.410 PLN, która to kwota stanowi równowartość 660 000 EUR według średniego kursu euro ogłoszonego przez NBP w tabeli kursów na dzień 28 stycznia 2019 r. W rozstrzygnięciu ww. decyzji określono także przepisy RODO, których naruszenie zostało przez organ stwierdzone. Tym samym Prezes UODO jednoznacznie wskazał, jakiej normy prawnej dokonał konkretyzacji, zaś samo sformułowanie rozstrzygnięcia nie budzi wątpliwości Naczelnego Sądu Administracyjnego.

Za brakiem konieczności sformułowania w rozstrzygnięciu decyzji "opisu czynu" świadczą także następujące kwestie. Po pierwsze, w prawie administracyjnym jednostka ponosi odpowiedzialność za delikt administracyjny, a nie za czyn zawiniony, polegający na zachowaniu albo zaniechaniu. Odpowiedzialność ta ma charakter obiektywny, a nie subiektywny. Delikt administracyjny może w związku z tym stanowić pewne działanie, ale także pewien obiektywnie istniejący stan rzeczy, za który odpowiedzialność ponosi jednostka. Trybunał Konstytucyjny podkreśla w swoim orzecznictwie, że w odniesieniu do deliktów administracyjnych subsumcja stanu faktycznego sprowadza się do ustalenia, czy określone działanie wyczerpało znamiona wskazane w ustawie (wyrok TK z 14.10.2009 r., Kp 4/09, OTK-A 2009, nr 9, poz. 134). W takim stanie rzeczy delikt administracyjny nie musi w ogóle stanowić czynu, i tym bardziej nie jest wymagane określenie w rozstrzygnięciu decyzji deliktu administracyjnego, za który strona ponosi odpowiedzialność prawną.

Po drugie, do postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej na podstawie art. 83 RODO nie stosuje się, nawet odpowiednio, przepisów procedury karnej, nakazującej w orzeczeniu nakładającym sankcję prawną przytoczenie opisu i kwalifikacji prawnej zarzuconego czynu (zob. art. 413 § 1 pkt 4) k.p.k.). Postępowanie prowadzone przez Prezesa UODO jest postępowaniem administracyjnym i brak jest podstaw do stosowania w tym zakresie, choćby odpowiedniego, przepisów formalnego prawa karnego. Prawdą jest, iż sankcja administracyjna może zostać uznana za karną w rozumieniu art. 42 Konstytucji RP i art. 6 EKPC. Kwestia ta jest jednoznacznie przesądzona w judykaturze Trybunału Konstytucyjnego i Europejskiego Trybunału Praw Człowieka. Naczelnemu Sądowi Administracyjnemu w składzie orzekającym znane jest orzecznictwo w tym przedmiocie (zob. np. wyrok TK z 3 listopada 2004 r., K 18/03, OTK-A 2004, nr 10, poz. 103 i wyroki ETPC: z 21 lutego 1984 r., Ozturk v. Niemcy, skarga nr 8544/79, z 8 czerwca 1976 r., Engel i inni v. Holandia, skarga nr 5100/71; 5101/71; 5102/71; 5354/72; 5370/72). Z orzecznictwa powyższego wynika autonomia pojęcia odpowiedzialności karnej (represyjnej) w ujęciu ponadustawowym. Przedmiotowa sankcja administracyjna mogłaby zostać zakwalifikowana jako sankcja karna (criminal offence) w ujęciu art. 6 EKPC. W rozpatrywanej sprawie nałożono na skarżącą karę pieniężną w wysokości 2.830.410 PLN, co przesądza o jej znacznej represyjności. Przechodząc do skutków kwalifikacji sankcji administracyjnej jako sankcji penalnej (karnej) w ujęciu standardów ponadustawowych trzeba jednak podkreślić, iż taka kwalifikacja nie prowadzi do stosowania do sankcji administracyjnej standardów prawa karnego. Zarówno na gruncie ustawy zasadniczej, jak i EKPC, podkreśla się dopuszczalność nakładania sankcji prawnych przez organy administracji, w procedurze administracyjnej (zob. wyroki TK: z 14 października 2009 r., Kp 4/09, OTK-A 2009, nr 9, poz. 134, z 15 stycznia 2007 r., P 19/06, OTK-A 2007, nr 1, poz. 2). Zakwalifikowanie danej sankcji jako criminal offence nie prowadzi do jej przyporządkowania do prawa karnego na gruncie prawa krajowego, a wyłącznie do obowiązku zapewnienia skutecznej kontroli sądowej nakładania tejże sankcji. W takim stanie rzeczy brak jest podstaw do przyjęcia, iż organ nakładając sankcję rozstrzygał sprawę karną i że powinien w rozstrzygnięciu decyzji określić czyn, za jaki nałożył administracyjną karę pieniężną.

Natomiast rację ma skarżąca kasacyjnie, iż organ naruszył wyrażony w art. 8 § 2 k.p.a. zakaz odstępowania - bez uzasadnionej przyczyny - od utrwalonej praktyki rozstrzygania spraw. Przez utrwaloną praktykę należy rozumieć zgodne z prawem, akceptowane przez sądy, stabilne, jednolite, ustandaryzowane i wieloletnie oraz znane publicznie postępowanie organów administracji publicznej przy rozstrzyganiu spraw tego samego rodzaju w takich samych stanach faktycznych i prawnych (A. Wróbel [w:] M. Jaśkowska, M. Wilbrandt-Gotowicz, A. Wróbel, Komentarz aktualizowany do Kodeksu postępowania administracyjnego, LEX/el. 2022, art. 8, pkt 21). Analiza wydanych przez Prezesa UODO decyzji nakładających kary pieniężne pokazuje, że praktyką organu było określenie, w rozstrzygnięciu decyzji o nałożeniu kary, na czym polegało naruszenie przez stronę postępowania wskazanych przez organ przepisów (opis deliktu administracyjnego). Praktyka ta miała miejsce zarówno przed, jak i po wydaniu zaskarżonej decyzji. Przykładowo, w decyzji z 16 października 2019 r., nr ZSPR.421.7.2019, Prezes UODO wskazuje "stwierdzając naruszenie przez (...) przepisów: (...) poprzez niewdrożenie odpowiednich środków technicznych i organizacyjnych, które umożliwiałyby osobie, której dane dotyczą, łatwe i skuteczne wycofanie zgody na przetwarzanie swoich danych osobowych oraz realizację prawa do żądania niezwłocznego usunięcia swoich danych osobowych (prawa do bycia zapomnianym) (...)". Podobnie zostały sformułowane decyzje Prezesa UODO z 25 kwietnia 2019 r., nr ZSPR.440.43.2019 i z 15 marca 2019 r., nr ZSPR.421.3.2018. Tymczasem w zaskarżonej decyzji organ określił wyłącznie naruszone przez skarżącą przepisy, pomijając tę część rozstrzygnięcia, w której wskazuje, na czym polega naruszenie. Tym samym Prezes UODO wydając zaskarżoną decyzję naruszył art. 8 § 2 k.p.a.

Jednakże w ocenie NSA naruszenie to nie mogło doprowadzić do uchylenia zaskarżonego wyroku. Stosownie do art. 145 § 1 pkt 1 lit. c) p.p.s.a. decyzja podlega uchyleniu nie w razie każdego naruszenia przepisów postępowania, a tylko takiego naruszenia, które mogło mieć istotny wpływ na wynik sprawy. Strona skarżąca nie uzasadniła przekonująco, w jaki sposób ww. odstąpienie od przyjętej praktyki formułowania rozstrzygnięcia decyzji mogłoby mieć wpływ na wynik sprawy. Zdaniem Sądu kasacyjnego, mając na uwadze wyżej wspomniane stanowisko przemawiające za nienaruszeniem przez organ art. 107 § 1 pkt 5) k.p.a., naruszenie przez Prezesa UODO art. 8 § 2 k.p.a. podlega kwalifikacji jako wada nieistotna zaskarżonej decyzji administracyjnej. Z uzasadnienia tejże decyzji wynika, na czym polegał zarzucany skarżącej kasacyjnie delikt administracyjny. W takim stanie rzeczy brak jest podstaw do przyjęcia, iż odstąpienie od przyjętej praktyki w zakresie sposobu sporządzenia rozstrzygnięcia decyzji mogłoby mieć jakikolwiek wpływ na wynik sprawy administracyjnej.

W dalszej kolejności Sąd kasacyjny odniesie się do trzeciego zarzutu skargi kasacyjnej, dotyczącego naruszenia art. 151 p.p.s.a. w zw. z art. 78 § 1 k.p.a. w zw. z art. 84 § 1 k.p.a. w zw. z art. 7 k.p.a. i art. 77 § 1 k.p.a. w kontekście art. 24 ust. 1 RODO i art. 32 ust. 1 RODO. Ocena tego zarzutu będzie bowiem rzutować na ocenę dalszych zarzutów skargi kasacyjnej. W ramach zarzutu trzeciego M. kwestionuje oddalenie przez organ wniosku o przeprowadzenie dowodu z opinii biegłego, na okoliczność ustalenia standardów technicznych i organizacyjnych środków bezpieczeństwa, oceny czy środki techniczne i organizacyjne stosowane przez spółkę odpowiadały standardom środków bezpieczeństwa w działalności gospodarczej przedsiębiorców w obszarze e-commerce o skali i charakterze podobnym do skali i charakteru działalności M. w 2018 r. i oceny, czy środki techniczne i organizacyjne stosowane przez M. były odpowiednie uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

Zarzut ten zasługuje na uwzględnienie. Naczelny Sąd Administracyjny podziela przytoczone przez skarżącą kasacyjnie argumenty przemawiające za koniecznością uwzględnienia wniosku o przeprowadzenie dowodu z opinii biegłego. Za takim wnioskiem przemawiają następujące argumenty.

Jednym z dwóch kierowanych wobec spółki zarzutów było naruszenie zasady poufności danych, wyrażonej w art. 5 ust. 1 lit. f RODO. Zdaniem Prezesa UODO spółka wywiązała się jedynie częściowo z obowiązku zapewnienia odpowiednich środków zabezpieczenia technicznego przetwarzanych danych. W ocenie organu spółka zaniechała dobrania skutecznych środków technicznych i organizacyjnych na poziomie kontroli dostępu i uwierzytelniania, monitorowania ruchu sieciowego w środowisku produkcyjnym, jak i oceny zdolności do ciągłego zapewnienia poufności, oceny ryzyka uzyskania dostępu do panelu pracownika spółki oraz ryzyka naruszenia praw lub wolności osób, których dane przetwarza spółka. W takim stanie rzeczy istota sprawy sprowadza się do ustalenia, czy środki techniczne i organizacyjne stosowane przez skarżącą kasacyjnie były odpowiednie w rozumieniu art. 32 ust. 1 i 2 RODO.

Na gruncie RODO prawodawca odszedł od statycznego określenia wymaganych od administratora środków technicznych i organizacyjnych na rzecz dynamicznej oceny przyjętych środków bezpieczeństwa. Powyższe oznacza, że to na administratorze i podmiocie przetwarzającym dane spoczywa obowiązek określenia odpowiednich (adekwatnych) środków bezpieczeństwa, z zachowaniem kompetencji organu nadzorczego do weryfikacji przyjętego poziomu zabezpieczeń (zob. wyrok TS z 27 października 2022 r., C-129/21, Proximus NV v. Gegevensbeschermingsautoriteit, LEX nr 3424192, pkt 72 i nast.). Stosownie do treści art. 32 ust. 1 RODO ww. podmioty powinny ustalić odpowiedni stopień środków technicznych i organizacyjnych, uwzględniając "stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze (...)". Ponadto ust. 2 wspomnianego artykułu precyzuje, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się "w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych". W konsekwencji obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, zaś to na administratorze spoczywa obowiązek dokonania oceny w tym zakresie i wyboru środków adekwatnych m.in. do obecnego stanu wiedzy technicznej czy skali ryzyka naruszenia praw (szerzej zob. P. Fajgielski [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] "Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz", wyd. II, Warszawa 2022, SIP LEX, art. 32, pkt 4).

Reasumując, sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa. Karze nie podlega jednostka za nielegalne działanie osoby trzeciej (np. hakera), polegające na nieuprawnionym dostępie do danych przezeń przetwarzanych, a za dopuszczenie do tego dostępu w związku z nieodpowiednim poziomem stosowanych zabezpieczeń. O naruszeniu powołanego przepisu nie przesądza sama okoliczność nieuprawnionego dostępu do danych, ponieważ taki stan rzeczy jest potencjalnie możliwy do zaistnienia również przy dochowaniu najwyższego poziomu zabezpieczeń. Wykładnię tę wzmacnia treść motywu 76 RODO, w którym wskazuje się, że "[r]yzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko".

Mając powyższe na uwadze, bezspornie "odpowiednie" na gruncie art. 32 ust. 1 RODO środki techniczne i organizacyjne, to nie środki skuteczne w każdym przypadku, a takie, których dochowanie mogło być w dacie i okolicznościach dostępu do danych osobowych, obiektywnie wymagane od danego podmiotu (administratora albo podmiotu przetwarzającego). Kwestia ta ma kluczowe znaczenie w rozpatrywanej sprawie, ponieważ kara pieniężna z tytułu naruszenia art. 32 RODO nie ma charakteru automatycznego, tj. sankcji za nieuprawniony dostęp do danych osobowych na skutek czynu zabronionego popełnionego przez osobę trzecią.

W tym miejscu konieczne jest odniesienie powyższych rozważań do rozwiązań proceduralnych przyjętych na gruncie k.p.a. Prowadząc postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej Prezes UODO czyni to podstawie przepisów Kodeksu postępowania administracyjnego (art. 7 ust. 1 u.o.d.o.). Co do zasady Prezes UODO posiada kompetencję do samodzielnej oceny, czy stosowane przez stronę środki techniczne i organizacyjne były odpowiednie. Ocena taka bez wątpienia wymaga wiadomości specjalnych, jednakże w świetle art. 84 k.p.a. "[g]dy w sprawie wymagane są wiadomości specjalne, organ administracji publicznej może zwrócić się do biegłego lub biegłych o wydanie opinii". Użyte w tym przepisie sformułowanie "organ może" świadczy o fakultatywności przeprowadzenia dowodu z opinii biegłego i jednocześnie uprawnieniu organu do oceny okoliczności faktycznych sprawy w ramach posiadanej przez siebie wiedzy specjalnej. Także w orzecznictwie wskazuje się, że powołanie przez organ biegłego należy uznać za uzasadnione, jeśli w sprawie wymagane są wiadomości specjalne. Oceny w tym zakresie dokonuje jednak organ administracji uwzględniając okoliczności danej sprawy, wymagany zakres ustaleń, stopień ich skomplikowania, a także kwalifikacje własnego zasobu kadrowego (wyrok NSA z 22 listopada 2022 r., III OSK 6189/21, LEX nr 3451892). Jednakże nie w każdej sytuacji organ będzie uprawniony do zaniechania powołania biegłego i do dokonania oceny wymagającej wiedzy specjalistycznej we własnym zakresie. Ograniczenia w tym względzie wynikają przede wszystkim z zasady prawdy obiektywnej (art. 7 k.p.a.). W szczególności przesłankami obligującymi organ do przeprowadzenia dowodu z opinii biegłego może być brak wiedzy specjalistycznej pracowników organu czy wysoki stopień skomplikowania sprawy. Ocena w tym zakresie powinna być dokonana z uwzględnieniem okoliczności danej sprawy. Jak wskazuje Naczelny Sąd Administracyjny w licznym orzecznictwie, chociaż powołanie biegłego ma charakter fakultatywny i zależy od uznania organu prowadzącego postępowanie, to wykorzystanie tego środka dowodowego jest zasadne, gdy dla prawidłowego załatwienia sprawy, ze względu na poziom jej skomplikowania, wymagane są wiadomości, którymi nie dysponuje organ (zob. np. wyroki NSA: z 6 października 2022 r., II OSK 3347/19, LEX nr 3420052 i z 23 czerwca 2022 r., I OSK 1076/19, LEX nr 3404440).

Nie pozostaje bez znaczenia także to, czy strona kwestionuje ustalenia dokonane na podstawie własnej wiedzy organu, czy też pozostają one bezsporne. Art. 84 k.p.a. jest regulacją pozwalającą na odformalizowanie postępowania administracyjnego i jego przyspieszenie. Obowiązek powołania biegłego w każdym przypadku, w którym wymagane jest skorzystanie z wiedzy specjalistycznej, doprowadziłby do przewlekłości postępowań i niemożności prawidłowego wykonywania zadań powierzonych organom administracji publicznej. Niemniej art. 84 k.p.a. nie stanowi regulacji prawnej pozwalającej organom administracji na samodzielne dokonywanie oceny faktów w każdym przypadku, ponieważ mogłoby to doprowadzić do arbitralnej oceny okoliczności faktycznych danej sprawy. Przepis ten musi być wykładany w zgodzie z art. 78 k.p.a., nakazującym uwzględnić wniosek dowodowy strony.

W okolicznościach rozpoznawanej sprawy Sąd pierwszej instancji pominął wynikające z art. 78 k.p.a. uprawnienia strony przyjmując, że skoro Prezes UODO dysponował dostatecznym materiałem dowodowym w sprawie, to przeprowadzenie wnioskowanego przez stronę dowodu z opinii biegłego było zbędne. Zaprezentowane w uzasadnieniu zaskarżonego wyroku rozumowanie pomija kontekst sprawy oraz istotne okoliczności faktyczne, powiązane z koniecznością obiektywnej, a nie subiektywnej oceny stosowanych przez stronę środków technicznych i organizacyjnych. Sąd Wojewódzki powinien wziąć pod uwagę precedensowy charakter sprawy, związany ze skalą naruszenia poufności danych osobowych i rozmiarem działalności skarżącej, przetwarzającej dane osobowe ponad 2.200.000 użytkowników. W takim stanie rzeczy należy poddać w wątpliwość, czy organ – w dacie wydania zaskarżonej decyzji – posiadał własną wiedzę specjalistyczną, pozwalającą na ocenę odpowiedniości środków technicznych i organizacyjnych w działalności gospodarczej o tak dużej skali. W ocenie Sądu kasacyjnego o posiadaniu takiej wiedzy specjalistycznej, niezbędnej do zastąpienia opinii biegłego własnymi ustaleniami, nie przesądza samo twierdzenie organu administracji. Organ ten powinien być w stanie uprawdopodobnić, iż w rzeczywistości posiada wiedzę, która nie tylko subiektywnie, ale i obiektywnie, a więc z zachowaniem wymaganej przez art. 8 § 1 k.p.a. bezstronności, pozwoli na dokonanie wymagającej wiedzy specjalistycznej oceny okoliczności sprawy. W tym przypadku jest to ocena, czy środki techniczne i organizacyjne stosowane przez M. były odpowiednie, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Jakkolwiek w sprawie nie ma podstaw do podważania wiedzy specjalistycznej pracowników Urzędu Ochrony Danych Osobowych, to wątpliwe wydaje się, czy organ w swojej dotychczasowej praktyce prowadził postępowania w zbliżonej kategorii spraw, co pozwalałoby na ustalenie odpowiedniego do charakteru, zakresu i kontekstu przetwarzania standardu środków bezpieczeństwa. Wniosek ten wzmacnia fakt, iż do wycieku danych osobowych doszło w październiku 2018 r., a więc niedługo po wejściu w życie RODO. Prowadząc postępowanie administracyjne i wydając we wrześniu 2019 r. decyzję o nałożeniu kary pieniężnej, Prezes UODO rozstrzygał sprawę w oparciu o nowy stan prawny. Organ nie mógł skutecznie powołać się na wiedzę specjalistyczną pracowników urzędu, skoro odnosiła się ona do poprzedniego stanu prawnego, w ramach którego nie stosowano rozwiązania takiego jak w art. 32 RODO, polegającego na niedookreśleniu odpowiedniego standardu wymaganych środków technicznych. Za nieprzekonujące Naczelny Sąd Administracyjny uznaje zawarte w odpowiedzi na skargę kasacyjną wyjaśnienia, iż model ochrony danych osobowych oparty na założeniu, że przyjmowane przez administratorów środki powinny być dostosowane do zagrożeń i charakteru przetwarzanych danych nie jest nowością, a Generalny Inspektor Ochrony Danych Osobowych niejednokrotnie identyfikował zagrożenia i zobowiązywał administratorów w formie decyzji administracyjnych do wdrożenia środków adekwatnych do ryzyka. Okoliczności te pozostają bez znaczenia dla sprawy, zważywszy na skalę działalności M. i związaną z nią specyfikę stosowanych środków zabezpieczenia danych osobowych ponad dwóch milionów klientów.

Biorąc powyższe okoliczności pod uwagę, organ naruszył art. 78 § 1 k.p.a., stanowiący iż "[ż]ądanie strony dotyczące przeprowadzenia dowodu należy uwzględnić, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy". Wskazane we wniosku dowodowym M. okoliczności miały istotne znaczenie dla sprawy, a zatem wniosek o przeprowadzenie dowodu z opinii biegłego winien zostać przez Prezesa UODO uwzględniony. NSA w składzie orzekającym podziela prezentowane w judykaturze stanowisko, iż inicjatywa dowodowa nie jest przypisana tylko organom orzekającym, ale należy też do stron postępowania. Mimo, że to na organach administracji spoczywa obowiązek zbadania wszystkich okoliczności sprawy to strona ma inicjatywę dowodową - może wskazać kontrdowód z którego zamierza wyprowadzić korzystne skutki prawne. Organy administracji publicznej nie mogą ignorować aktywności stron w dążeniu do ustalenia stanu faktycznego, szczególnie gdy strony przedstawiają dowody, które w ich ocenie podważają dotychczasowe ustalenia poczynione w toku postępowania. Obowiązkiem organu jest ustosunkowanie się do przedstawionych przez stronę dowodów i wyczerpujące wyjaśnienie pojawiających się na tym tle wątpliwości. Za niedopuszczalne należy uznać ignorowanie przez organy administracyjne aktywności stron w dążeniu do ustalenia stanu faktycznego (zob. stanowisko zawarte w wyrokach NSA: z 10 marca 2021 r., II OSK 1918/18, LEX nr 3153048, z 23 lutego 2021 r., II GSK 613/19, LEX nr 3147096, z 24 listopada 2011 r., II OSK 1639/10, LEX nr 1151966).

Stanowisko to jest tym bardziej aktualne, iż wniosek dowodowy jest jedynym środkiem obrony strony dążącej do wykazania korzystnych dla niej okoliczności faktycznych. Nie można w postępowaniu administracyjnym ograniczać prawa strony do czynnego udziału, uwzględniając jedynie dowody świadczące na jej niekorzyść. Uwadze Prezesa UODO i Sądu pierwszej instancji umknęło, iż postępowanie w przedmiocie nałożenia administracyjnej kary pieniężnej jest postępowaniem sankcyjnym i to jednoinstancyjnym, w którym dochodzi do ingerencji w sferę wolności jednostki (wyrok TK z 1.07.2014 r., SK 6/12, OTK-A 2014, nr 7, poz. 68). Okoliczność ta nie pozostaje bez wpływu na kierunek interpretacji przepisów postępowania administracyjnego. Niezależnie od przyjętego modelu orzekania jednostce powinien przysługiwać pewien minimalny standard proceduralny, realizujący zasadę sprawiedliwości proceduralnej. Trafnie wskazuje się w doktrynie, że "przy określeniu standardów, których niezbędność w sprawach administracyjnych zmierzających do wymierzenia kary pieniężnej trudno zakwestionować, należy kierować się prawem do sądu oraz prawem do rzetelnego postępowania, które zapewnia art. 6 ust. 1-3 Konwencji o ochronie praw człowieka i podstawowych wolności" (L. Staniszewska, Materialne i proceduralne zasady stosowane przy wymierzaniu administracyjnych kar pieniężnych [w:] "Administracyjne kary pieniężne w demokratycznym państwie prawnym", red. M. Błachucki, Warszawa 2015, s. 34; zob. także M. Wincenciak, Sankcje w prawie administracyjnym i procedura ich wymierzania, Warszawa 2008, s. 216-217).

W konsekwencji jakkolwiek Kodeks postępowania administracyjnego nie przewiduje wprost "prawa do obrony", to szereg uprawnień składających się na to prawo można wywieść z art. 10 k.p.a. oraz przepisów stanowiących konkretyzację zasady czynnego udziału, takich jak powołany art. 78 k.p.a. W orzeczeniach Naczelnego Sądu Administracyjnego podkreśla się, że "jakkolwiek w prawie administracyjnym nie można odwołać się do pojęcia winy (tak w wyrokach NSA z: 19 listopada 2009 r., sygn. akt II OSK 1168/09; 23 czerwca 2015 r., II OSK 2809/13; 16 maja 2014 r. II OSK 2979/12; por. też wyrok NSA z 9 sierpnia 2016 r., II OSK 2886/14 - pub. http://orzeczenia. nsa.gov.pl), to jednak podmiot będący adresatem sankcji administracyjnej powinien "mieć możliwość obrony" (por. uchwałę TK z 1 marca 1994 r., U 7/93, OTK 1994 r., cz. 1, poz. 5; por. też np. wyrok WSA w Warszawie z 19 lutego 2007 r., VI SA/Wa 1956/06, LEX nr 311989; wyrok NSA z 15 lutego 2012 r., II GSK 1191/10, LEX nr 1137851; oraz Z. Kmieciak, Postępowanie administracyjne w świetle standardów europejskich, Warszawa 1997, s. 177-178, A. Skoczylas w: Tomasz Sójka (red. naukowy), Prawo rynku kapitałowego, Komentarz, wyd. Wolters Kluwer Polska, Warszawa 2015, s. 549-551. Zob. też P. Iżycki, Wpływ nowelizacji Kodeksu postępowania administracyjnego na instytucję materialnych kar administracyjnych, Administracja 2017, nr 3, s. 156-177) – tak NSA w wyrokach: z 11 lutego 2021 r., II GSK 1225/20, LEX nr 3195723 i z 15 czerwca 2021 r., II GSK 1195/20, LEX nr 3194060. Również z orzecznictwa TSUE wynika generalny wniosek, że w postępowaniu administracyjnym w przedmiocie nałożenia sankcji prawnej strona powinna mieć zapewniony określony standard proceduralny związany z prawem do obrony (wyrok TS z 2 lutego 2021 r., C-481/19, DB przeciwko Commissione Nazionale per le Società e la Borsa (Consob), LEX nr 3114894, pkt 42 i nast.).

Z kolei w doktrynie wskazuje się, że "[i]stotnym aspektem zasad ogólnych jest to, że wynikają z nich konkretne uprawnienia stron i innych uczestników postępowania administracyjnego. Rolą organu prowadzącego postępowanie jest stworzenie warunków umożliwiających stronie rzeczywiste i faktyczne skorzystanie z jej praw procesowych. W konsekwencji strona postępowania ma prawo oczekiwać (...) umożliwienia czynnego udziału w czynnościach dowodowych organu wraz z prawem do realizacji własnej inicjatywy dowodowej (...)" (R. Suwaj, Zasady nakładania administracyjnych kar pieniężnych, Warszawa 2021 s. 132). Autor dodaje, iż "[z] perspektywy orzekania o odpowiedzialności administracyjnej w postaci administracyjnej kary pieniężnej kwestie prawidłowości formalnej prowadzonych czynności dowodowych nabierają dodatkowej wagi" (tamże).

W rozpoznawanej sprawie oznacza to, że organ nie tylko powinien dążyć do ustalenia rzeczywistego stanu faktycznego, lecz także do zapewnienia prawa czynnego udziału (prawa "do obrony") strony postępowania – podmiotu "obwinionego" o popełnienie deliktu administracyjnego. Prezes UODO powinien mieć na uwadze, że w postępowaniu w przedmiocie nałożenia sankcji dochodzi do kumulacji roli oskarżyciela, podmiotu orzekającego, a w przypadku odmowy skorzystania z art. 84 k.p.a. – także biegłego. Ta kumulacja ról procesowych nie jest sama w sobie zakazana; jest ona związana z samą istotą postępowania administracyjnego. Niemniej przyjęte rozwiązanie prawne wymaga od Prezesa UODO nie tylko ustalenia okoliczności sprawy, lecz także prowadzenia postępowania w sposób bezstronny i budzący zaufanie jego uczestników do władzy publicznej (art. 8 § 1 k.p.a.). W praktyce obowiązek ten wiąże się z nakazem respektowania uprawnień proceduralnych strony postępowania.

Za naruszenie zasady czynnego udziału i stanowiącego jej konkretyzację art. 78 § 1 k.p.a. należy uznać prowadzenie postępowania zmierzającego do nałożenia kary pieniężnej z pominięciem wniosków dowodowych strony, dotyczących istotnych dla sprawy okoliczności faktycznych. Nie bez znaczenia pozostaje także to, iż postępowanie administracyjne prowadzone przez Prezesa UODO jest, z woli ustawodawcy, postępowaniem jednoinstancyjnym (art. 7 ust. 2 u.o.d.o.). Powyższe oznacza, iż strona nie może skorzystać z prawa do wniesienia odwołania lub wniosku o ponowne rozpatrzenie sprawy i w tych pismach zawrzeć wniosków dowodowych zmierzających do podważenia stanowiska przyjętego w decyzji administracyjnej. Jednocześnie, w razie odmowy przeprowadzenia dowodów na korzyść w toku postępowania, strona dopiero z decyzji kończącej postępowanie dowiaduje się, czy i dlaczego organ przyjął, iż w sprawie doszło do naruszenia obowiązków ciążących na stronie (tu: w zakresie ustanowienia odpowiednich środków technicznych w postaci m.in. uwierzytelniania dwuetapowego). W toku postępowania kontrolnego ani też postępowania administracyjnego Prezes UODO nie wytworzył żadnego dokumentu stanowiącego wnioski z analizy standardu środków bezpieczeństwa stosowanych przez M., do którego strona – w braku zgromadzenia w aktach opinii biegłego – mogłaby się odnieść w toku postępowania. Tymczasem takie rozwiązanie zmniejszyłoby znacząco rygoryzm postępowania, w ramach którego dopiero z ostatecznej decyzji administracyjnej strona dowiaduje się, w jaki sposób oceniono przyjęty przez nią standard zabezpieczeń. Wobec odmowy dopuszczenia dowodu z opinii biegłego strona nie mogła przed rozstrzygnięciem sprawy dowiedzieć się, jakie wnioski wymagające wiedzy specjalnej wyciągnął organ, a stan ten doprowadził do naruszenia zasady czynnego udziału strony, niezależnie od treści potencjalnej opinii. Sąd kasacyjny podkreśla, że nawet negatywna dla strony opinia biegłego byłaby podstawą do zapewnienia ochrony interesów strony w postępowaniu sankcyjnym i mogłaby stanowić podstawę do zajęcia przez stronę stanowiska przed wydaniem decyzji administracyjnej.

Rozstrzygając powyższą kwestię Naczelny Sąd Administracyjny miał także na uwadze art. 78 ust. 1 RODO i motyw 143 preambuły RODO, wymagające aby stronie przysługiwało, przeciwko prawnie wiążącej decyzji organu nadzorczego jej dotyczącej, prawo do skutecznego środka ochrony prawnej przed sądem. Prawo to zakłada wymóg, aby sąd administracyjny sprawował pełną jurysdykcję w sprawie, w tym w zakresie ustalenia okoliczności faktycznych i prawnych mających znaczenie dla rozstrzygnięcia sprawy. W przyjętym przez ustawodawcę kasacyjnym modelu orzekania sąd administracyjny nie rozstrzyga o istocie sprawy administracyjnej, orzekając wyłącznie o legalności (zgodności z prawem) decyzji organu ochrony danych osobowych. Sąd administracyjny nie posiada kompetencji do zastąpienia rozstrzygnięcia Prezesa UODO własnym orzeczeniem, ani do prowadzenia pełnego postępowania dowodowego obejmującego przeprowadzenie dowodu z opinii biegłego. W ramach kognicji sądu administracyjnego, w celu zapewnienia jednostce skutecznej ochrony prawnej, mieści się analiza prawidłowości ustalenia stanu faktycznego i jego oceny przez organ administracji. W swoim orzecznictwie TK przyjmuje, że "[s]koro niezgodność działań organu administracji z prawem może mieć miejsce na każdym wymienionym etapie stosowania prawa, a sąd administracyjny bada, czy organ administracji publicznej nie naruszył prawa w stopniu mogącym mieć wpływ na wynik sprawy, to uznać trzeba, że sąd ten może badać i oceniać działania organu na każdym z tych etapów" (wyrok TK z 7 lipca 2009 r., K 13/08, OTK-A 2009, nr 7, poz. 105). W takim stanie rzeczy zaistniałe wątpliwości co do legalności zaskarżonej decyzji muszą skutkować jej uchyleniem, na podstawie właściwej jednostki redakcyjnej art. 145 § 1 p.p.s.a.

Przechodząc dalej, Naczelny Sąd Administracyjny odniesie się łącznie do zarzutów drugiego, piątego i szóstego, dotyczących naruszenia art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a. i art. 80 k.p.a. Zarzuty te zasługują na uwzględnienie w części dotyczącej arbitralnej oceny materiału dowodowego na skutek samodzielnego, tj. bez przeprowadzenia dowodu z opinii biegłego, określenia przez Prezesa UODO, iż stosowane przez skarżącą środki techniczne nie były odpowiednie. Prezes UODO wskazał w postanowieniu z 6 sierpnia 2019 r., że "stopień skomplikowania sprawy nie przekracza zakresu wiadomości będących w gestii organu". Zdaniem NSA te twierdzenia organu są zbyt ogólne i niepozwalające na merytoryczną weryfikację posiadanej przez organ wiedzy specjalnej. W sprawach decyzji w przedmiocie nałożenia sankcji o znacznym stopniu represyjności, a tak trzeba zakwalifikować nałożenie na jednostkę kary pieniężnej w wysokości 2.830.410 PLN, nie może być wątpliwości co do prawidłowości ustalenia stanu faktycznego sprawy i oceny zgromadzonego materiału. Tymczasem organ w uzasadnieniu decyzji nie rozwiewa tych wątpliwości. Powołuje się na szereg norm i innych dokumentów technicznych, z których wynika, że z uwagi na dostęp wielu osób do panelu, w którym znajdują się dane klientów, niewystarczające było zastosowanie środka uwierzytelniającego wyłącznie w postaci loginu i hasła. Prezes UODO przekonuje, że spółka powinna zastosować uwierzytelnianie dwuetapowe odwołując się do wytycznych Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dotyczących bezpieczeństwa przetwarzania danych osobowych wydanych w 2016 r. Organ zwraca także uwagę, że fundacja OWASP, międzynarodowa organizacja non-profit, której celem jest opracowywanie i szerzenie dobrych praktyk kierowanych do twórców oprogramowania, w swoim dokumencie "OWASP Top 10 – 2017" jako środek zapobiegawczy rekomenduje stosowanie wieloetapowego uwierzytelniania jako sposób na znaczne zminimalizowanie ryzyka przełamania zabezpieczeń. W okolicznościach sprawy te dwa dokumenty stanowią wyłączną podstawę tezy organu o konieczności stosowania uwierzytelniania dwuetapowego przez spółkę. Pozostałe powołane przez Prezesa UODO dokumenty wskazują wyłącznie na możliwe konsekwencje i skutki niepowodzenia uwierzytelnienia (norma PN-ISO/IEC 29115:2017-07 ("Technika informatyczna - Techniki bezpieczeństwa -- Ramy uzasadnionej pewności poziomów uwierzytelnienia"), ryzyko ataków phishingowych (raporty roczne dotyczące działalności CERT Polska za 2016, 2017 i 2018 rok) i konieczność doboru właściwego środka uwierzytelniającego (dokument NIST 800-63B oraz opracowania organizacji OWASP). Zdaniem Naczelnego Sądu Administracyjnego powołane argumenty nie pozwalają na przyjęcie za udowodnioną okoliczności naruszenia przez spółkę zasady poufności danych. Z zaskarżonej decyzji nie wynika, czy powołane przez Prezesa UODO normy są relewantne pod kątem oceny działalności skarżącej i wskazanych w art. 32 ust. 1 i 2 RODO okoliczności, tj. ryzyka nieuprawnionego ujawnienia przetwarzania danych, stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania danych przez skarżącą. Podniesione przez organ argumenty mają charakter ogólny, niepozwalający na odniesienie ich do okoliczności sprawy i skali prowadzonej przez skarżącą działalności gospodarczej. Skoro ocena odpowiedniości zastosowanych środków bezpieczeństwa powinna uwzględniać ww. okoliczności, to jako dowolny jawi się wniosek, iż uwierzytelnianie dwuetapowe jest środkiem odpowiednim w każdym przypadku, jak to zdaje się wynikać z zaskarżonej decyzji. Analiza w tym zakresie powinna uwzględniać indywidualne okoliczności sprawy. Ponadto na podstawie uzasadnienia decyzji nie jest możliwe do ustalenia, czy powołane przez Prezesa UODO dokumenty na poparcie tezy o nieodpowiednim charakterze stosowanych środków technicznych mają charakter reprezentatywny, czy też prezentują one wyłącznie pewien pogląd jednostkowy, mając na celu poparcie stanowiska organu. Organ nie porównuje rzetelnie wniosków wynikających z dwóch przedstawionych dokumentów z innymi źródłami wiedzy specjalistycznej. Dlatego w zakresie określenia, iż skarżąca nie zastosowała odpowiednich środków technicznych, i że środkiem takim byłoby uwierzytelnianie dwuetapowe, Naczelny Sąd Administracyjny uznaje decyzję za uzasadnioną w sposób zbyt lakoniczny. W takim stanie rzeczy organ naruszył art. 7, art. 77 § 1 i art. 80 k.p.a. przez niepełne ustalenie stanu faktycznego sprawy oraz dowolną, a nie swobodną analizę zgromadzonego materiału dowodowego. Ocena ta skutkowała przedwczesnym przyjęciem, iż M. nie zastosowała odpowiednich środków bezpieczeństwa ochrony danych osobowych.

Natomiast nie zasługuje na uwzględnienie zarzut szósty, w ramach którego spółka zarzuca oddalenie skargi w sytuacji, gdy organ dokonał dowolnej oceny materiału dowodowego, niezgodnej z logiką i zasadami doświadczenia życiowego, polegającej na stwierdzeniu przez organ w treści decyzji, że spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Sąd kasacyjny przyjmuje, iż nie miała charakteru dowolnego dokonana ocena materiału dowodowego polegająca na stwierdzeniu przez organ w treści decyzji, że spółka nie podejmowała działań mających na celu ocenę doboru środków technicznych i organizacyjnych przez pryzmat adekwatności do ryzyk. Prezes UODO w uzasadnieniu decyzji przekonująco uzasadnił, że spółka oceniała i wdrażała rekomendacje z tych raportów w zakresie zidentyfikowanych już podatności w kodzie oprogramowania, który służy do przetwarzania danych osobowych. Nie dokonywała natomiast takiej oceny ex ante, jak wymaga tego od administratora m.in. art. 25 ust. 1 RODO. Ze zgromadzonych protokołów przesłuchania wynika, że analiza ryzyka była robiona doraźnie dla poszczególnych procesów, w sposób niesformalizowany. Spółka weryfikowała wyłącznie poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu. W konsekwencji nietrafnie skarżąca kasacyjnie zarzuca dowolność ustaleń Prezesa UODO, iż zgromadzony materiał dowodowy wskazuje, że spółka w sposób niewystarczający oceniła zdolność do ciągłego zapewnienia poufności.

Podobnie nie sposób jest podważyć ustaleń organu, iż zasadny był postawiony w decyzji Prezesa UODO zarzut niewystarczająco szybkiej reakcji spółki, gdyż pomimo deklaracji stałego monitorowania sieci, spółka na podstawie analizy ruchu sieciowego nie była w stanie stwierdzić, czy faktycznie dane zostały wykradzione. Okoliczność ta wynika niezbicie ze zgromadzonego materiału dowodowego, w tym z faktu, iż pierwsze sygnały o kradzieży danych pochodziły od klientów serwisu, faktu, że spółka nie miała pewności, czy i co faktycznie zostało wykradzione z jej serwerów, a także faktu, że wzrost przesyłu danych nastąpił poza godzinami pracy spółki.

Za nietrafny Naczelny Sąd Administracyjny uznał zarzut czwarty, dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a. w zw. z art. 77 § 4 k.p.a., art. 80 k.p.a., art. 81 k.p.a., art. 84 § 1 k.p.a. w zw. z art. 8 § 1 k.p.a. i art. 10 § 1 k.p.a., przez oddalenie skargi w sytuacji, gdy organ poczynił ustalenia faktyczne oraz oceny w oparciu o materiał dowodowy nieznajdujący się w aktach sprawy. Zarzutem tym skarżąca kasacyjnie kwestionuje zaniechanie zgromadzenia w aktach postępowania administracyjnego powołanych w decyzji norm, wytycznych oraz innych specjalistycznych dokumentów, co miało doprowadzić do poczynienia przez organ ustaleń z materiału dowodowego zebranego poza postępowaniem administracyjnym. Zdaniem skarżącej kasacyjnie żaden z ww. dokumentów nie został w jakikolwiek sposób wprowadzony w poczet zgromadzonego materiału dowodowego, co przesądza o niemożliwości obrony w zakresie, w jakim organ poczynił ustalenia na podstawie ww. materiału.

Oceniając powyższy zarzut należy rozdzielić zagadnienia okoliczności faktycznych oraz argumentacji prawnej. Obie powyższe kwestie mają istotne znaczenie dla rozpoznania sprawy i znajdują odzwierciedlenie w uzasadnieniu decyzji kończącej postępowanie. Jednakże wyłącznie okoliczności faktyczne, ustalane za pomocą dowodów, są dokumentowane jako podstawa ustaleń faktycznych dokonanych przez organ. Normy i wytyczne, na które powołuje się spółka, nie mają charakteru dowodów i nie wymagają zgromadzenia w aktach sprawy. Dokumenty te nie służą bowiem ustaleniu środków technicznych i organizacyjnych stosowanych przez administratora. Jak wynika z uzasadnienia zaskarżonej decyzji, są one podstawą oceny, czy zastosowane środki mają charakter odpowiedni w rozumieniu art. 32 ust. 1 i 2 RODO. Jak wskazuje organ w odpowiedzi na skargę kasacyjną, przytoczone normy są standardami powszechnie znanymi i stosowanymi w dziedzinie zabezpieczania informacji. Przy czym podkreślenia wymaga, iż powołane dokumenty nie mają charakteru źródeł prawa, wiążąco określających wymagany w odniesieniu do skarżącej standard zabezpieczeń, a wyłącznie posiłkowo mogą być traktowane jako argument przemawiający za przyjętą przez organ oceną materiału dowodowego. Powyższe wynika z niedookreśloności wymaganego od administratora, "odpowiedniego" standardu środków technicznych i organizacyjnych w świetle art. 32 RODO. Dlatego wspomniane w zarzucie dokumenty pełnią rolę analogiczną do stanowiska orzecznictwa i poglądów doktryny, które – pełniąc funkcję argumentacyjną – również nie wymagają zgromadzenia w aktach sprawy jako część materiału dowodowego. W konsekwencji dokumenty te stanowią podstawę oceny materiału dowodowego i argumentacji prawnej poczynionej przez Prezesa UODO. Organ nie ma obowiązku gromadzić w aktach sprawy dokumentów, które, nie stanowiąc materiału dowodowego, wspierają argumentację przedstawioną w ramach uzasadnienia prawnego decyzji. W konsekwencji rozpatrywany zarzut nie zasługuje na uwzględnienie.

Nietrafnie skarżąca kasacyjnie w zarzucie siódmym podnosi naruszenie art. 151 p.p.s.a. w zw. z art. 7 k.p.a., 77 § 1 k.p.a., 80 k.p.a. przez oddalenie skargi, w sytuacji, gdy organ nie dokonał wszechstronnej oceny materiału dowodowego oraz nie wywiódł logicznych i spójnych wniosków ze zgromadzonego przez organ materiału dowodowego. Zarzut ten oparto na stwierdzeniu, iż organ błędnie uznał, że wyciek danych dotyczył około 2.200.000 użytkowników. M. argumentuje natomiast, iż nie doszło do pobrania pełnej bazy danych skarżącej w liczbie około 2.200.000 osób. Analiza akt sprawy, w tym przede wszystkim zaskarżonej decyzji, prowadzi do wniosku, iż nie doszło do nieprawidłowego ustalenia stanu faktycznego oraz błędnej oceny materiału dowodowego w zakresie liczby osób, których dotyczy stan naruszenia. Prawdą jest, że na s. 24 decyzji błędnie wskazano, iż "naruszenie to dotyczyło bowiem znacznej liczby osób fizycznych; wyciek danych 2.200.000 osób (...)". Jednakże w ocenie Sądu kasacyjnego stwierdzenie to nosi znamiona oczywistej omyłki i nie może stanowić skutecznej podstawy do podważenia decyzji Prezesa UODO. Z uzasadnienia decyzji jasno wynika, że o ile w sprawie doszło do naruszenia ochrony danych osobowych około 2.200.000 osób, to miało to miejsce przez możliwość dostępu do tych danych przez osobę nieuprawnioną, to wyłącznie w odniesieniu do 600 osób miało miejsce definitywne uzyskanie dostępu do danych osobowych. Powyższe wynika m.in. ze s. 23 decyzji, gdzie wskazano, iż [naruszenie] "stwarza bowiem wysokie ryzyko negatywnych skutków prawnych dla około 2.200.000 osób, do których danych dostęp miała osoba bądź osoby nieuprawnione; co istotne, wobec dwukrotnego naruszenia poufności systemu informatycznego spółki, wobec 600 osób ryzyko to jest proporcjonalnie większe". Reasumując, pomimo zaistniałej omyłki organ prawidłowo ustalił stan faktyczny w powyższym zakresie. Prawidłowe jest stwierdzenie, iż w sprawie doszło do ochrony danych osobowych około 2.200.000 osób. Naruszeniem bezpieczeństwa danych osobowych jest także sam nieuprawniony dostęp do danych. W świetle art. 4 pkt. 2 RODO przetwarzaniem danych jest każda operacja na danych, m.in. ich przeglądanie. Tym samym Naczelny Sąd Administracyjny podziela ustalenie organu, iż nieuprawniony dostęp do panelu pracownika spółki prowadzi do dostępu do bazy danych wszystkich klientów spółki, a więc i do niezapewnienia bezpieczeństwa przetwarzania danych osobowych około 2.200.000 osób.

Przechodząc dalej, za zasadny Naczelny Sąd Administracyjny uznaje zarzut ósmy dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. i art. 81a k.p.a. przez oddalenie skargi w sytuacji, gdy organ przyjął, że spółka nie zbierała prawidłowo zgód na przetwarzanie danych przed 25 maja 2018 r., podczas gdy prawidłowa ocena materiału dowodowego powinna doprowadzić do wniosku, że okoliczność ta nie została udowodniona w toku postępowania administracyjnego. Sąd pierwszej instancji za Prezesem UODO przedwcześnie przyjął, iż wyjaśnienia spółki, dotyczące zakończonego procesu przetwarzania danych z wniosków ratalnych, wobec braku innych dowodów, nie są wystarczające aby uznać, że samo przetwarzanie odbywało się zgodnie z przepisami. Organ administracji poczynił dowolne ustalenia wskazując na s. 21 zaskarżonej decyzji, że "[z] uwagi na to, że zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679, a sam proces trwał od 2016 r. (wyjaśnienia Spółki), należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej". Założenie to stanowi nieznajdujące podstaw w zgromadzonym materialne dowodowym domniemanie. Przypomnieć należy, że na gruncie art. 7 w zw. z art. 77 § 1 k.p.a. organ administracji zobowiązany jest do ustalenia stanu faktycznego i do zebrania pełnego materiału dowodowego. Czynić to organ może na podstawie wszystkich środków dowodowych (art. 75 § 1 k.p.a.) i co do zasady nie jest wykluczone posługiwanie się w postępowaniu administracyjnym domniemaniami faktycznymi. Niemniej trzeba zauważyć, że w postępowaniu w przedmiocie nałożenia administracyjnej kary pieniężnej stosuje się art. 81a § 1 k.p.a. przewidujący nakaz rozstrzygania wątpliwości faktycznych na korzyść strony. W doktrynie wskazuje się, że art. 81a § 1 k.p.a. ma zastosowanie do postępowań administracyjnych w sprawie szeroko rozumianych sankcji administracyjnych (M. Stahl, M. Karcz-Kaczmarek, Ochrona praw jednostki na płaszczyźnie nowych zasad ogólnych Kodeksu postępowania administracyjnego [w:] "Kodeks postępowania administracyjnego po zmianach w latach 2017-2019", red. M. Błachucki, G. Sibiga, Warszawa 2020, s. 51). Podzielić należy pogląd, zgodnie z którym "[i]stotą omawianej regulacji jest procesowa gwarancja ochrony interesów strony w postępowaniu o sankcyjnym charakterze, a pośrednio także zabezpieczenie prawidłowości procesu stosowania prawa (...), co wyklucza uznaniowość rozstrzygnięć administracji w tym zakresie" (tamże, s. 57).

Reasumując, z woli ustawodawcy w postępowaniach sankcyjnych obowiązuje zakaz usuwania wątpliwości co do stanu faktycznego na niekorzyść jednostki. Tymczasem z taką sytuacją mamy do czynienia w niniejszej sprawie. Prezes UODO zakładając, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej, uczynił to na podstawie domniemania faktycznego, które było w rozpatrywanej sprawie nieuzasadnione i niepoparte materiałem dowodowym. Z faktu, iż zgody na przetwarzanie danych osobowych były pozyskiwane po rozpoczęciu obowiązywania RODO, nie wynika okoliczność, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej. Istotne znaczenie przypisać trzeba ustaleniu, że do zbierania danych osobowych na potrzeby wniosków kredytowych dochodziło od 2016 r., a więc częściowo w okresie przed wejściem w życie RODO. W takim stanie rzeczy w ramach wspomnianej bazy danych mogły co prawda znajdować się także dane zebrane po wejściu w życie RODO, niemniej okoliczność ta nie została w toku postępowania administracyjnego dowiedziona. Przyjęte przez organ założenie nie pozwala także na ustalenie choćby przybliżonej liczby poszkodowanych osób, których dane dotyczą, co jest kwestią relewantną z perspektywy wysokości sankcji administracyjnej.

Sytuacji tej nie zmienia zasada rozliczalności z art. 5 ust. 2 RODO. Zgodnie z tą zasadą, administrator powinien być w stanie wykazać przestrzeganie zasad określonych w ustępie pierwszym powołanego artykułu (zob. P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] P. Litwiński (red.) "Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz", SIP Legalis, art. 5, pkt 26). Organ nie może jednak czynić ustaleń faktycznych bez zgromadzenia jakichkolwiek dowodów, zaś strona postępowania nie powinna być zaskakiwana przyjętymi przez organ ustaleniami. Prezes UODO, stosownie do art. 7 k.p.a., winien był przed stwierdzeniem, iż doszło do naruszenia prawa, zwrócić się do strony o złożenie wyjaśnień we wskazanym zakresie lub przeprowadzić inne dowody w tym osobowe, czego zaniechał. Dopiero wówczas możliwe byłoby powołanie się na przytoczoną przez Prezesa UODO zasadę rozliczalności, która nie może być rozumiana jako odstępstwo od wynikającej z art. 7 k.p.a. zasady prawdy obiektywnej.

W konsekwencji zdaniem NSA organ zaniechał przeprowadzenia pełnego postępowania wyjaśniającego na okoliczność przetwarzania przez M. danych osobowych z wniosków ratalnych bez podstawy prawnej. Niezależnie od tego organ nietrafnie i przedwcześnie wywiódł, iż spółka nie udokumentowała usunięcia danych z wniosków ratalnych. W toku postępowania spółka przekonująco wyjaśniła, że usunięcie baz danych zostało udokumentowane w logach systemu IT. Zarzucając nieudokumentowanie tej czynności organ winien był wyjaśnić, za pomocą jakich jeszcze dowodów okoliczność ta powinna zostać udokumentowana. Tej kwestii organ nie wyjaśnił, pomimo że – po wyczerpaniu nieosobowych środków dowodowych – mógł na okoliczność usunięcia danych osobowych przesłuchać ewentualnie świadków oraz stronę postępowania. Ponownie rozpoznając sprawę Prezes UOKiK rozważy przeprowadzenie dodatkowego postępowania dowodowego na okoliczność przetwarzania przez M. danych osobowych z wniosków ratalnych bez podstawy prawnej, przy uwzględnieniu faktu, iż okoliczność pozyskiwania zgód po rozpoczęciu obowiązywania RODO nie jest sama w sobie wystarczająca dla stwierdzenia naruszenia zasady legalności przetwarzania danych osobowych. Ponadto organ zwróci się do spółki o przedstawienie klauzul czy wzorów stosowanych zgód, zbieranych przed 25 maja 2018 r. oraz wyjaśni, w jaki sposób spółka powinna udokumentować usunięcie danych.

Naczelny Sąd Administracyjny za częściowo uzasadniony uznaje zarzut dziewiąty dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 107 § 1 pkt 6) k.p.a. oraz art. 107 § 3 k.p.a. przez oddalenie skargi w sytuacji, gdy organ sporządził uzasadnienie w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzenia uzasadnienia. Zarzut ten jest zasadny w zakresie powiązanym z zarzutem poprzednim, tj. w zakresie przyjęcia "nieumotywowanego argumentacją i dowodami założenia przez organ, że skoro "zgody były pozyskiwane po rozpoczęciu obowiązywania rozporządzenia 2016/679, a sam proces trwał od 2016 r. (wyjaśnienia spółki), należy założyć, że w usuniętej bazie danych znajdowały się dane zebrane bez podstawy prawnej" (s. 21 decyzji)" – pkt 1 lit. f) zarzutu. Częściowo trafna jest także argumentacja spółki w zakresie odnoszącym się do uzasadnienia wysokości nałożonej kary pieniężnej – pkt 2 zarzutu. Jakkolwiek sytuacja finansowa strony nie jest, na gruncie art. 83 ust. 2 RODO, dyrektywą wymiaru kary, to z art. 83 ust. 1 RODO wynika, że administracyjna kara pieniężna powinna być skuteczna, proporcjonalna i odstraszająca. W ocenie Naczelnego Sądu Administracyjnego proporcjonalność kary należy odnieść nie tylko do rozmiaru naruszenia, lecz także do sytuacji majątkowej podmiotu ponoszącego prawną odpowiedzialność. Nieproporcjonalność kary oznacza bowiem sytuację, w której sankcja ta nie doprowadzi do osiągnięcia stawianych jej celów w związku z koniecznością zakończenia działalności gospodarczej w znacznym zakresie, czy też ogłoszenia upadłości strony. W tym kontekście Prezes UODO powinien był odnieść się do sytuacji finansowej strony i poddać analizie, czy wysokość kary pieniężnej będzie świadczyć o jej proporcjonalności w odniesieniu do złożonych przez spółkę dokumentów finansowych. Niedostrzeżenie tej kwestii świadczy o naruszeniu przez Sąd pierwszej instancji art. 151 p.p.s.a. w zw. z art. 107 § 3 k.p.a. W pozostałym zakresie zarzut nie zasługuje na uwzględnienie. Prezes UODO w sposób wyczerpujący odniósł się do dyrektyw z art. 83 ust. 2 RODO i w tym kontekście przekonująco uzasadnił wysokość nałożonej kary pieniężnej. Natomiast w zakresie, w jakim skarżąca kasacyjnie kwestionuje ustalenia organu dotyczące analizy materiału dowodowego (pkt. 1 lit. a)-e) omawianego zarzutu) stwierdzić należy, że zarzut ten jest niezasadny jako dotyczący kwestii oceny materiału dowodowego, a nie wymogów uzasadnienia decyzji administracyjnej. Z kolei okoliczności wskazane w pkt. 3 tego zarzut, tj. dotyczące sprzeczności wewnętrznych uzasadnienia, zostały już przez NSA uznane za bezzasadne w zw. z ustaleniami poczynionymi w części odnoszącej się do zarzutu siódmego skargi kasacyjnej.

Rozpoznanie wszystkich zarzutów naruszenia przepisów postępowania uprawnia Naczelny Sąd Administracyjny do oceny zarzutów naruszenia przepisów postępowania. W tym zakresie za nietrafione uznać trzeba zarzuty dziesiąty, jedenasty i dwunasty skargi kasacyjnej.

Zarzut dziesiąty dotyczy naruszenia art. 151 p.p.s.a. w zw. z art. 32 ust. 1 i 2 RODO polegającego na przyjęciu, że z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych (str. 14), podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Zarzut ten jest bezzasadny, albowiem Prezes UODO nie przyjął, iż z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych w każdym przypadku środków technicznych i organizacyjnych. Część rozważań organu zawarta na s. 14 decyzji stanowi uzasadnienie faktyczne, ponieważ stwierdzenie o skutecznych środkach technicznych i organizacyjnych padło w odniesieniu do treści zawiadomienia o wszczęciu postępowania. Na s. 14-20 decyzji organ przeprowadził prawidłową wykładnię art. 32 ust. 1 i 2 RODO i nie przyjął, iż przepis ten wymaga, aby zastosowany środek bezpieczeństwa był skuteczny w każdym przypadku. Świadczy o tym chociażby wskazanie, iż ocena ryzyka następuje na podstawie obiektywnej oceny, a zgodnie z art. 32 ust. 1 i 2 RODO "oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności (...)" – s. 18 decyzji.

Nietrafny jest zarzut jedenasty dotyczący naruszenia art. 151 p.p.s.a. w zw. z art. 24 ust. 1 RODO oraz 32 ust. 1 i 2 RODO przez ich niewłaściwe zastosowanie tj. formułowanie ocen dotyczących odpowiedniości/nieodpowiedniości technicznych i organizacyjnych środków bezpieczeństwa bez uprzedniej oceny ryzyka, w szczególności przez przyjęcie, że stosowane przez skarżącego techniczne i organizacyjne środki bezpieczeństwa były nieodpowiednie (tj. zdaniem organu niewystarczające). Organ nie dokonał niewłaściwego zastosowania ww. przepisów RODO. Kwestie podnoszone w zarzucie dotyczą w istocie legalności dokonanej oceny materiału dowodowego, która to okoliczność może być podnoszona tylko w ramach zarzutu naruszenia przepisów postępowania (np. wyrok NSA z 16 grudnia 2022 r., III OSK 5394/21, LEX nr 3447023).

W ocenie NSA także zarzut dwunasty jest bezzasadny. Zarzut ten skarżąca kasacyjnie wiąże z naruszeniem przez Sąd Wojewódzki art. 151 p.p.s.a. w zw. z art. 5 ust. 2 RODO w zw. z art. 7 ust. 1 oraz w zw. z art. 11 ust. 1 RODO przez ich błędną wykładnię i przyjęcie, że spółka ma obowiązek wykazać legalność przetwarzania danych osobowych, pomimo że proces przetwarzania danych osobowych został zakończony, podczas gdy przepisy RODO nakazują wykazać rozliczalność, w tym wykazanie podstawy prawnej oraz prawidłowość zebranych zgód, wyłącznie względem danych aktualnie przetwarzanych przez administratora procesów przetwarzania. Z art. 7 ust. 1 RODO wynika, że "[j]eżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych". Przepis ten, jak i art. 5 ust. 2 RODO, nie ograniczają obowiązku administratora do wykazania przestrzegania zasady legalności tylko w odniesieniu do danych obecnie przetwarzanych. Usunięcie z bazy danych dotyczących przetwarzania danych, nie uniemożliwia przeprowadzenia innych dowodów na potwierdzenie zgodności ich przetwarzania z prawem. Wykładnia zaprezentowana w skardze kasacyjnej nie znajduje uzasadnienia w przepisach RODO i prowadziłaby do niemożliwości wykonywania swojej funkcji przez organ nadzorczy. Słusznie organ w odpowiedzi na skargę kasacyjną wskazuje, że ograniczenie zastosowania zasady rozliczalności do bieżących procesów przetwarzania danych mogłoby prowadzić do uniknięcia odpowiedzialności za poważne naruszenia ochrony danych i nieuzasadnionego ograniczenia kompetencji organu nadzorczego oraz praw osób, których dane dotyczą, wystarczyłoby bowiem usunięcie takiej bazy danych.

Mając na uwadze powyższe wywody, Naczelny Sąd Administracyjny uznał, że skarga kasacyjna ma usprawiedliwione podstawy, dlatego na mocy art. 188 p.p.s.a. ją uwzględnił i uchylił zaskarżony wyrok a uznając, że istota sprawy jest dostatecznie wyjaśniona rozpoznał skargę. Jak już wyżej podano skarga jest zasadna. Zatem Naczelny Sąd Administracyjny na podstawie art. 145 § 1 pkt 1 lit. c) p.p.s.a. uchylił zaskarżoną decyzję Prezesa UODO.

Prezes UODO ponownie rozpoznając sprawę, stosownie do treści art. 153 p.p.s.a., zastosuje się do przedstawionej wyżej oceny prawnej i do wynikających z przedstawionego wyżej stanowiska wskazań Sądu kasacyjnego. Przede wszystkim organ administracji dokona ponownej oceny wniosku dowodowego M., przy uwzględnieniu, iż ocena, czy środki techniczne i organizacyjne stosowane przez M. były odpowiednie, jest istotną dla sprawy okolicznością wymagającą wiedzy specjalistycznej. Prezes UODO weźmie także pod uwagę to, iż stronie postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej przysługuje inicjatywa dowodowa stosownie do art. 78 § 1 k.p.a., zaś organ zobowiązany jest do przeprowadzenia dowodów również na korzyść strony postępowania. Prezes UODO przyjmie także, iż przedwczesna była ocena o naruszeniu przez spółkę zasady zgodności z prawem, rzetelności i rozliczalności przy przetwarzaniu danych osobowych przez nieudokumentowanie usunięcia danych z wniosków ratalnych.

O kosztach postępowania sądowego od Prezesa Urzędu Ochrony Danych Osobowych na rzecz M. Sp. z o.o. z siedzibą w K. orzeczono na podstawie art. 203 pkt 1 i art. 200 p.p.s.a. w zw. z art. 205 § 2 p.p.s.a. Na zasądzoną kwotę składają się: wpis stosunkowy od skargi (28.305 zł), wpis stosunkowy od skargi kasacyjnej (14.153 zł), opłata kancelaryjna za odpis orzeczenia z uzasadnieniem (100 zł), opłata skarbowa od pełnomocnictwa (17 zł) oraz koszty wynagrodzenia adwokackiego w kwocie stawek minimalnych, ustalonych na podstawie § 14 ust. 1 pkt 1 lit. a) w zw. z § 2 pkt. 8 oraz § 14 ust. 1 pkt 2) lit. b) rozporządzenia Ministra Sprawiedliwości z 22 października 2015 r. w sprawie opłat za czynności adwokackie (Dz. U. poz. 1800 ze zm.).



Powered by SoftProdukt