Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Rafał Stasikowski po rozpoznaniu w dniu 2 września 2022 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej zażalenia X S.A. w W. na postanowienie Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 czerwca 2022 r., sygn. akt II SA/Wa 546/22 o odmowie wstrzymania zaskarżonej decyzji w sprawie ze skargi X. S.A. w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr [...] w przedmiocie przetwarzania danych osobowych postanawia: oddalić zażalenie.

Postanowieniem z 13 czerwca 2022 r. Wojewódzki Sąd Administracyjny

w Warszawie odmówił skarżącemu X wstrzymania wykonania zaskarżonej decyzji.

W uzasadnieniu wskazał, że decyzją z 19 stycznia 2022 r. organ stwierdził naruszenie przez X przepisów art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą i nakładającą na X administracyjną karę pieniężną w wysokości 545 748 zł oraz nakazał X zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, tj. wszystkich pracowników X, którzy byli zatrudnieni w okresie, w którym były pracownik X posiadał nieuprawniony dostęp do danych zgromadzonych na Platformie Usług Elektronicznych ZUS (PUE ZUS), w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 Oporządzenia 2016/679.

W skardze do sądu administracyjnego X wniósł o wstrzymanie wykonania zaskarżonej decyzji. W piśmie procesowym z 4 maja 2022 r. uzasadnił swój wniosek. Wskazał, że wykonanie decyzji w zakresie powiadomienia podmiotów danych, w sytuacji braku jednoznacznej sytuacji, co do zakresu danych udostępnionych byłemu pracownikowi, wiązać się może z utratą przez pracowników zaufania do skarżącego, jako pracodawcy, możliwością rozwiązania przez pracowników umów o pracę w sytuacji ciężkiego naruszenia podstawowych obowiązków wobec pracownika, czy wywołaniem wśród pracowników nieuzasadnionej obawy o ochronę danych osobowych przez skarżącego, jako pracodawcę. Odwrócenie skutków związanych z notyfikacją z art. 34 ust. 2 rozporządzenia 2016/679 byłoby znacznie utrudnione, a wręcz niemożliwe.

W ocenie Sądu pierwszej instancji zaskarżona decyzja wywołuje negatywne skutki dla skarżącego, jednakże jej treść nie może automatycznie uzasadniać uwzględnienia wniosku o wstrzymanie jej wykonania. W ocenie Sądu nakazanie X zawiadomienia - w terminie 3 dni od dnia doręczenia decyzji - osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj. opisu charakteru naruszenia ochrony danych osobowych, imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych, opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków, w przypadku wykonania ww. nakazu nie spowoduje szkód po stronie X, lecz zwiększenie ochrony danych osobowych osób, których dotyczy naruszenie poprzez zminimalizowanie bezpośredniego ryzyka wystąpienia szkody.

Zdaniem Sądu pierwszej instancji zawiadomienie osób fizycznych o naruszeniu ochrony danych osobowych zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia. W oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. W ocenie Sądu pierwszej instancji tak sformułowany nakaz nie doprowadzi do wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków, o których mowa w art. 61 § 3 ustawy z 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2022 r., poz. 329; dalej zwanej "p.p.s.a.").

Zażalenie na powyższe postanowienie wniósł skarżący X. Jego zdaniem Sąd pierwszej instancji nie odniósł się do argumentów X zawartych we wniosku

o wstrzymanie wykonania zaskarżonej decyzji.

Naczelny Sąd Administracyjny zważył, co następuje:

Zażalenie jest bezzasadne, bowiem zaskarżone postanowienie odpowiada prawu. Wprawdzie można zgodzić się z twierdzeniami X zawartymi w zażaleniu, że Sąd pierwszej instancji nie odniósł się konkretnie do wskazanych we wniosku negatywnych skutków dla X, a więc ich nie ocenił. Niemniej uchybienie Sądu w tym zakresie nie miało wpływu na wynik niniejszej sprawy wpadkowej.

Zgodnie z art. 61 § 3 p.p.s.a. po przekazaniu sądowi skargi sąd może na wniosek skarżącego wydać postanowienie o wstrzymaniu wykonania w całości lub w części aktu lub czynności, o których mowa w § 1, jeżeli zachodzi niebezpieczeństwo wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków, z wyjątkiem przepisów prawa miejscowego, które weszły w życie, chyba że ustawa szczególna wyłącza wstrzymanie ich wykonania.

Przesłanki, jakimi powinien kierować się sąd przy rozstrzyganiu takiego wniosku, w sposób wyczerpujący zostały określone w art. 61 § 3 p.p.s.a., w myśl którego są nimi: niebezpieczeństwo wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków. Przesłanki te należy wiązać z sytuacją, która może powstać, gdy zaskarżony do sądu akt administracyjny zostanie wykonany, a następnie na skutek uwzględnienia skargi akt ten zostanie wzruszony.

We wniosku zawartym w skardze i uzupełnionym w piśmie z 4 maja 2022 r. X przedstawił skutki, jakie uznał za trudne do odwrócenia w związku z wykonaniem zaskarżonej decyzji. Należy zwrócić uwagę, że argumentacja X zawarta we wniosku opiera się na potencjalności wystąpienia wskazanych przez niego skutków. Podnoszona przez X możliwa utrata przez pracowników zaufania do pracodawcy, możliwość rozwiązania przez pracowników umów o pracę w sytuacji ciężkiego naruszenia podstawowych obowiązków wobec pracownika, czy wywołanie wśród pracowników nieuzasadnionej obawy o ochronę danych osobowych – to są skutki, które wprawdzie mogą, ale nie muszą wystąpić w razie wykonania omawianego nakazu. Co więcej ewentualne zaistnienie tych skutków zależy wyłącznie od indywidualnej reakcji bądź decyzji każdego z zawiadomionych pracowników.

Sąd, rozpoznając przedmiotowy wniosek, podniósł, że nakaz zawarty w zaskarżonej decyzji nie doprowadzi do wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków, o których mowa w art. 61 § 3 p.p.s.a., a poza tym zawiadomienie osób fizycznych o naruszeniu ochrony danych osobowych zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego

z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia. Zatem z uzasadnienia zaskarżonego postanowienia wynika, że Sąd, zestawiając zagrożone wartości w postaci dóbr osobistych pracowników z dobrami, które usiłuje chronić X wnosząc o wstrzymanie wykonania zaskarżonej decyzji, przyznał pierwszeństwo tym pierwszym. I z tą oceną Sądu pierwszej instancji należy się zgodzić.

W tym kontekście warto podkreślić że zagrożenie naruszenia dóbr osobistych pracowników (w postaci ochrony danych osobowych) jest w okolicznościach niniejszej sprawy realne, zwłaszcza biorąc pod uwagę kategorie danych osobowych, których dotyczyło przedmiotowe naruszenie. Z zaskarżonej decyzji wynika, że dane osobowe, do których możliwy dostęp uzyskała osoba nieuprawniona, stanowią szeroki zakres (imię i nazwisko, adres zamieszkania lub pobytu, nr PESEL), a także należą do szczególnej kategorii (dane dotyczące zdrowia, informacje o zwolnieniach lekarskich). Nie oceniając w tym momencie zasadności zarzutów skargi, niewątpliwie można stwierdzić, że naruszenie to jest poważne w wymiarze danych, do których miała dostęp osoba nieuprawniona. Co więcej z twierdzeń X wynika, że w istocie nie neguje on faktu dostępu przez osobę nieuprawnioną do danych pracowników, lecz podnosi, że w sprawie nie jest ustalony zakres danych, do których osoba ta miała dostęp, oraz liczba pracowników zagrożona naruszeniem ochrony danych osobowych.

W takiej sytuacji należało przyjąć, że zagrożenie naruszenia ochrony danych osobowych jest rzeczywiste a nie tylko potencjalne. Natomiast negatywne skutki, mogące spotkać X w przypadku wykonania nakazu zawiadomienia, są wyłącznie potencjalne i X nie przedstawił takiej argumentacji, która przekonywałaby o poważnym ryzyku ich wystąpienia.

Oczywiście sama potencjalność wystąpienia niebezpieczeństwa wyrządzenia znacznej szkody lub spowodowania trudnych do odwrócenia skutków nie wyklucza przyznania ochrony tymczasowej, ale może mieć wpływ na ocenę zasadności wniosku w kontekście okoliczności sprawy. Przy ocenie zasadności wniosku o wstrzymanie wykonania zaskarżonego aktu lub czynności należy bowiem rozważyć nie tylko uzasadniony interes strony skarżącej, ale także ewentualne skutki, jakie wstrzymanie lub odmowa wstrzymania wykonania zaskarżonego aktu lub czynności może spowodować dla innych podmiotów, na które ten akt lub czynność również oddziaływają lub mają wpływ na ich prawa i obowiązki.

W ocenie Naczelnego Sądu Administracyjnego nakaz zawiadomienia pracowników nałożony przez organ na X w zaskarżonej decyzji przyczynia się do zwiększenia ochrony danych osobowych pracowników przed stwierdzonym zagrożeniem ich naruszenia, zaś bezpieczeństwo tychże danych przedstawia większą wartość, niż wartość przedstawionych we wniosku potencjalnych negatywnych skutków dla X. Z tego powodu wniosek X o wstrzymanie wykonania zaskarżonej decyzji nie zasługiwał na uwzględnienie, o czym prawidłowo orzekł Sąd pierwszej instancji w zaskarżonym postanowieniu, a zażalenie na to orzeczenie okazało się bezzasadne.

Z powyższych względów, Naczelny Sąd Administracyjny, na podstawie art. 184 w związku z art. 197 § 2 p.p.s.a., orzekł jak w sentencji postanowienia.