Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Mirosław Wincenciak (sprawozdawca) sędzia del. WSA Hanna Knysiak-Sudyka Protokolant: starszy asystent sędziego Magdalena Zając po rozpoznaniu w dniu 7 maja 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej A. Sp. z o.o. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 czerwca 2023 r. sygn. akt II SA/Wa 150/23 w sprawie ze skargi A. Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 listopada 2022 r. nr DKN.5112.1.2020.190235 w przedmiocie wymierzenia administracyjnej kary pieniężnej w związku z przetwarzaniem danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od A. Sp. z o.o. z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 5400 (pięć tysięcy czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 21 czerwca 2023 r. sygn. akt II SA/Wa 150/23 oddalił skargę A. Sp. z o.o. z siedzibą [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 listopada 2022 r. nr DKN.5112.1.2020.190235 w przedmiocie ochrony danych osobowych.

U podstaw rozstrzygnięcia Sądu pierwszej instancji legły następujące ustalenia oraz ocena prawna.

B. Sp. z o.o. z siedzibą w Warszawie (dalej w skrócie: "Spółka B.") zgłosiła w dniu 24 grudnia 2019 r. Prezesowi Urzędu Ochrony Danych Osobowych (dalej w skrócie: "Prezes UODO" lub "organ") naruszenie ochrony danych osobowych abonentów usług przedpłaconych, polegające na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu 142.222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114.963 klientów w zakresie imienia i nazwiska, numeru PESEL, serii i numeru dowodu osobistego, numeru telefonu, NIP i nazwy podmiotu. Incydent ten miał miejsce od dnia 18 do dnia 22 grudnia 2019 r. W konsekwencji Prezes UODO zdecydował o przeprowadzeniu w Spółce B. kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych: rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – Dz. Urz. UE L 119 z dnia 4 maja 2016, str. 1 ze zm., dalej w skrócie: "RODO") oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j.: Dz. U. z 2019 r., poz. 1781, dalej w skrócie: "u.o.d.o."). Organ ustalił, że przedmiotem działalności Spółki B. jest świadczenie usług w zakresie telekomunikacji bezprzewodowej. Podstawą prawną i celem przetwarzania danych osobowych w tej Spółce w procesie rejestracji usług przedpłaconych jest realizacja umowy na usługę telekomunikacyjną, zawieraną przez dokonanie czynności faktycznej: wysłanie SMS, MMS, pobranie danych bądź inicjację połączenia telefonicznego, w oparciu o ustawę z dnia 16 lipca 2014 r. Prawo telekomunikacyjne (t.j.: Dz. U. z 2019 r., poz. 2460, dalej w skrócie: "p.t."). W toku kontroli stwierdzono, że od dnia 18 do dnia 22 grudnia 2019 r. w Spółce B. doszło do incydentu wycieku danych osobowych, na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych przez wykorzystanie podatności systemu informatycznego – usługi generującej potwierdzenia dokonania rejestracji kart prepaid.

Prezes UODO pismem z dnia 30 czerwca 2020 r. zawiadomił spółkę B. o wszczęciu z urzędu postępowania administracyjnego w przedmiocie naruszenia przepisów o ochronie danych osobowych, wobec niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku. Decyzją z dnia 3 grudnia 2020 r. nr DKN.5112.1.2020, stwierdzając naruszenie przez Spółkę B.: art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b i d i ust. 2 RODO, polegające na niewdrożeniu przez tę Spółkę odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych za pomocą systemów informatycznych służących do rejestracji danych osobowych abonentów usług przedpłaconych, co doprowadziło do uzyskania przez osobę nieuprawnioną dostępu do tych danych – nałożył na Spółkę B. administracyjną karę pieniężną w wysokości 1.968.524 złotych.

W wyniku wniesienia skargi przez Spółkę B. do Wojewódzkiego Sądu Administracyjnego w Warszawie, w/w decyzja została uchylona prawomocnym wyrokiem z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21. Sąd uznał, że decyzja Prezesa UODO naruszała przepisy prawa procesowego w zakresie sporządzenia uzasadnienia, rozważenia i oceny okoliczności faktycznych sprawy, jak również przepisy prawa materialnego w zakresie wyjaśnienia, z jakich powodów nałożono karę pieniężną w wysokości określonej w decyzji. Zdaniem WSA w Warszawie, przy wymiarze kary Prezes UODO powinien wziąć pod uwagę okoliczność, że Spółka B. podejmowała działania zmierzające do wyeliminowania nieprawidłowości, które miały miejsce w chwili incydentu, oraz rozważyć, w jakim zakresie podejmowane przez nią działania wpłynęły na prawidłowość stosowania przepisów RODO.

Ponownie rozpoznając sprawę Prezes UODO wskazał, że przyjęte przez Spółkę B. środki mogłyby być skuteczne, gdyby w ramach wdrożonych procedur zawierały również uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania i które byłyby przez Spółkę przestrzegane. Tymczasem, w prowadzonej przez Spółkę B. w/w dokumentacji, opisującej proces przetwarzania danych oraz zastosowane środki organizacyjne i techniczne, pozyskanej w toku dokonywania czynności kontrolnych, kwestie te nie zostały uregulowane. Prezes UODO nie zgodził się ze stanowiskiem Spółki B. zawartym w wyjaśnieniach z dnia 24 stycznia 2020 r., stwierdzając, że do wykrycia wykorzystanej podatności wystarczyłoby zweryfikowanie podstawowej zasady działania systemu Spitfire, tj. sprawdzenie, czy następuje walidacja numeru POS z numerem wniosku, natomiast brak podjęcia tego działania świadczy o nieskutecznym bądź niewłaściwym przeprowadzaniu wskazanych przez Spółkę B. przeglądów. Organ wskazał, że sprawdzenie poprawności walidacji dwóch w/w danych nie wymaga żadnej wiedzy specjalistycznej bądź dużych nakładów finansowych, a jedynie dostępu do systemu. Ponadto podkreślił, że zidentyfikowana w wyniku naruszenia ochrony danych osobowych podatność jest związana z zastosowanymi środkami technicznymi służącymi do identyfikacji użytkowników, a co za tym idzie – ich uprawnień w systemie.

Zdaniem organu, nie można też uznać, że działania, jak wskazała Spółka B., polegające na poddawaniu środków technicznych i organizacyjnych przeglądom oraz uaktualnieniom w przypadku pojawienia się zmian organizacyjnych lub prawnych, stanowią o wypełnieniu obowiązku administratora w zakresie zapewnienia regularnego testowania, mierzenia i testowania skuteczności środków technicznych i organizacyjnych. Działania takie nie wyczerpują bowiem wymogu regularności.

W ocenie Prezesa UODO, przedstawiona w toku kontroli analiza ryzyka, przeprowadzona w maju 2018 r., nie odzwierciedla w pełni stanu faktycznego procesu "Rejestracja danych w POS", będącego przedmiotem kontroli, w związku z wystąpieniem naruszenia danych osobowych zgłoszonego w dniu 24 grudnia 2019 r. Jak wynika z materiału zebranego w toku kontroli, przegląd środków technicznych i organizacyjnych został przeprowadzony przez Spółkę B. jedynie przed rozpoczęciem stosowania RODO. Brak rzetelnie przeprowadzonej analizy ryzyka, w połączeniu z brakiem regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków technicznych oraz organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania, doprowadził do naruszenia danych osobowych, ale i przesądza o naruszeniu przez Spółkę B. obowiązków spoczywających na administratorze danych, wynikających z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO.

Decydując o nałożeniu na A. Sp. z o.o. z siedzibą w [...] (dalej w skrócie: "Spółka A." lub "skarżąca") – następcę prawnego Spółki B. – administracyjnej kary pieniężnej, a także określając jej wysokość, Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a-k RODO – wziął pod uwagę i uznał za obciążające następujące okoliczności sprawy mające wpływ na wymiar nałożonej kary. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) – stwierdzone w niniejszej sprawie naruszenie przepisów RODO, którego skutkiem było uzyskanie nieuprawnionego dostępu do przetwarzanych przez Spółkę B. danych przez osobę bądź osoby nieuprawnione, a w konsekwencji naruszenie poufności danych ponad 100.000 abonentów usług przedpłaconych Spółki, ma znaczną wagę i poważny charakter, stwarza bowiem wysokie ryzyko wystąpienia szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone. Samo naruszenie poufności danych już stanowi dla tych osób szkodę niemajątkową (krzywdę). Abonenci, których imię i nazwisko, numer PESEL czy numer dokumentu tożsamości, pozyskano w sposób nieuprawniony, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, czy wreszcie przed stratą finansową. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO) – dane osobowe, do których dostęp uzyskała nieznana i nieuprawniona osoba trzecia, wprawdzie nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednakże ich zakres: numer telefonu oraz w przypadku 4.522 osób imię i nazwisko, numer PESEL, numer i seria dokumentu tożsamości; w stosunku do 108.702 osób imię i nazwisko oraz nr PESEL; w stosunku do 10.167 osób imię i nazwisko oraz numer i seria dokumentu tożsamości, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił jako okoliczności łagodzące, mające wpływ na obniżenie wysokości wymierzonej kary, działania podjęte przez Spółkę B. w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą. Prezes UODO zwrócił ponadto uwagę na stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO), brak stwierdzenia wcześniejszych poprzedzających niniejsze postępowanie naruszeń przepisów RODO przez Spółkę B.. Przy czym żadnego wpływu na fakt zastosowania przez organ w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 RODO, okoliczności.

W końcowej części uzasadnienia Prezes UODO wskazał na motywy świadczące o zasadności wymierzenia Spółce A. kary pieniężnej w orzeczonej wysokości. Uznał, że z uwagi na charakter i wagę naruszeń, zastosowanie znajdzie zarówno art. 83 ust. 4 lit. a RODO, przewidujący m.in. za naruszenie obowiązków administratora, o których mowa w art. 25 i 32 RODO, możliwość nałożenia administracyjnej kary pieniężnej w wysokości do 10.000.000 EUR (w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego), jak również art. 83 ust. 5 lit. a RODO, zgodnie z którym naruszenia m.in. podstawowych zasad przetwarzania, o których mowa m.in. w art. 5 RODO, podlegają administracyjnej karze pieniężnej w wysokości do 20.000.000 EUR (w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa). W ocenie organu, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca, a jednocześnie nie będzie dla Spółki A. nadmiernie dotkliwa.

W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie Spółka A. podniosła naruszenia wskazanych przepisów prawa materialnego oraz prawa procesowego.

W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując dotychczasowe stanowisko w sprawie.

Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie. W uzasadnieniu powołanego na wstępie wyroku stwierdził, że jest związany wytycznymi zawartymi w prawomocnym wyroku z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/2, w którym uznano za niezasadne zarzuty naruszenia przez Prezesa UODO przepisów art. 5 ust. 1 lit. f i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d i ust. 2 RODO. Zdaniem Sądu pierwszej instancji, Prezes UODO wziął pod rozwagę, czy Spółka B., jako administrator danych osobowych, przeanalizowała ryzyko związane z ochroną danych, czy udokumentowała i uzasadniła je należycie w stanie faktycznym, czy badała od dnia wejścia w życie przepisów RODO procesy przetwarzania danych osobowych na poszczególnych etapach i czy zastosowane przez Spółkę B. procedury były adekwatne do oszacowanego ryzyka. Z tych względów WSA w Warszawie uznał zarzuty skargi dotyczące naruszenia przepisów art. 5 ust. 1 lit. f i ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d i ust. 2 RODO za bezzasadne.

Zdaniem Sądu pierwszej instancji, niezasadny jest także zarzut skargi dotyczący naruszenia art. 83 ust. 2 lit. a RODO, polegający na jego niewłaściwym zastosowaniu i przyjęciu, że naruszenie przez Spółkę B. przepisów art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b i d oraz art. 32 ust. 2 RODO zakończyło się z dniem 22 lipca 2020 r., podczas gdy zakończenie stanu naruszenia nastąpiło najpóźniej w lutym 2020 r. Jak słusznie wskazał organ, dopiero z datą uzyskania certyfikacji, co miało miejsce w dniu 22 lipca 2020 r., skarżąca mogła powołać się na fakt, że spełnia wymogi ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019. W ocenie WSA w Warszawie, z samego faktu rozpoczęcia procesu uzyskania zgodności z normami ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 nie można dowieść, że proces ten zakończy się pomyślnie.

Sąd pierwszej instancji stwierdził ponadto, że Prezes UODO prawidłowo ustalił okres trwania naruszenia, przyjmując, że trwało ono od dnia 25 maja 2018 r. (wejście w życie RODO) do dnia 22 lipca 2020 r. – daty uzyskania certyfikacji. Wynika to z faktu, że przetwarzanie danych osobowych abonentów usług przedpłaconych trwało już w dacie wejścia w życie RODO. Natomiast Spółka B. była zobowiązana, zgodnie z motywem 171 i art. 99 ust.2 RODO, do posiadania w dniu wejścia w życie RODO rozwiązań technicznych i organizacyjnych w postaci regularnego testowania i mierzenia wdrożonych rozwiązań

Za niezasadny WSA w Warszawie uznał również zarzut skargi dotyczący naruszenia prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a RODO, polegającego na ich niewłaściwym zastosowaniu i przyjęciu, że osoby, których dotyczyło naruszenie ochrony danych osobowych, poniosły szkodę, o której mowa w art. 83 ust. 2 lit. a RODO, podczas, gdy za poniesienie szkody nie może być uznawana obawa jej poniesienia przez osoby, których dane dotyczą. W niniejszej sprawie nie ulega wątpliwości, że doszło do wycieku danych osobowych abonentów usług przedpłaconych, z uwagi na podatność systemów informatycznych na naruszenie. Ponad 100.000 abonentów usług przedpłaconych Spółki B. zostało dotkniętych naruszeniem poufności ich danych. Zdaniem Sądu pierwszej instancji, Prezes UODO prawidłowo przyjął, że w sprawie doszło do zaistnienia szkody niemajątkowej w postaci obawy przed utratą kontroli abonentów nad swoimi danymi osobowymi.

Odnosząc się natomiast do zarzutu dotyczącego naruszenia art. 153 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j.: Dz. U. z 2023 r., poz. 1634 ze zm., dalej w skrócie: "p.p.s.a.") w zw. z art. 83 ust. 2 lit. h RODO, polegającego na ich niezastosowaniu, WSA w Warszawie wskazał, że zgodnie ze stanowiskiem Grupy Roboczej art. 29 wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO (WP 253 17/PL), administrator danych osobowych ma obowiązek zawiadomienia organ nadzoru o naruszeniu danych osobowych. Zwykłe dopełnienie tego obowiązku nie może być interpretowane jako czynnik osłabiający/łagodzący. Innymi słowy, zdaniem Sądu pierwszej instancji, takie zawiadomienie jest irrelewantne dla wymierzanej kary pieniężnej.

Odnosząc się z kolei do zarzutu naruszenia art. 32 ust. 1 lit. d w zw. z art. 32 ust. 2 RODO, Sąd pierwszej instancji wskazał, że w uzasadnieniu wyroku z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 Sąd stanął na stanowisku, że powyższy zarzut skargi był bezzasadny. To na administratorze spoczywa bowiem obowiązek takiego doboru środków zabezpieczenia, aby zminimalizować ryzyko ich naruszenia.

WSA w Warszawie podzielił także stanowisko organu, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, bowiem fakt niewystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.

Odnosząc się zaś do zarzutu dotyczącego naruszenia art. 25 ust. 1 RODO, Sąd pierwszej instancji podzielił stanowisko organu, że w sprawie doszło do szkody niematerialnej w postaci obawy, a więc utraty bezpieczeństwa ochrony danych osobowych, związanego z wyciekiem tych danych. WSA w Warszawie wskazał, że masowe przetwarzanie musi się wiązać z wyższym poziomem odpowiedzialności administratora i wyższym poziomem należytej staranności, gdyż nieodpowiednie zabezpieczenie danych może skutkować negatywnymi konsekwencjami dla wielu osób. Przetwarzanie tych danych odbywało się przy użyciu środka informatycznego, co w konsekwencji powodowało podwyższoną odpowiedzialność za wdrożenie środków organizacyjnych i technicznych dla zabezpieczenia systemu, czego w tej sprawie zabrakło. Naruszenie to, zdaniem Sądu, co jest zbieżne z oceną organu, stwarza zagrożenie dla wszystkich klientów Spółki.

Odnosząc się z kolei do zarzutu wykładni określenia "poprzedni rok obrotowy" z art. 83 ust. 4 i 5 RODO, WSA w Warszawie wskazał, że wysokość całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego dotyczy roku poprzedzającego nałożenie kary. Analogicznie brzmi art. 106 ustawy o ochronie konkurencji i konsumentów. Po uchyleniu wyrokiem z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 decyzji Prezesa UODO, rozstrzyga on sprawę na nowo, stosując wytyczne Sądu. Konieczne jest uwzględnianie obrotu działalności gospodarczej poprzedzającego ponowne nałożenie kary dla oceny potencjału rynkowego popełniającego delikt administracyjny, dla celów miarkowania kary. O ile elementy strony przedmiotowej deliktu administracyjnego, czyli okoliczności takie jak waga naruszenia czy charakter naruszonych danych, oceniany jest z daty jego popełnienia, to już kwestie możliwości finansowych oceniane są zgodnie z wykładnią funkcjonalną, a wyrazem sytuacji finansowej jest rzeczony obrót.

Z kolei co do faktu, że delikt administracyjny popełniła Spółka B., która przestała istnieć w wyniku przejęcia przez Spółkę A., która to nie miała żadnego faktycznego związku z naruszeniem ochrony danych osobowych, a mimo to na skarżącą nałożono administracyjną karę pieniężną, Sąd pierwszej instancji wskazał, że z akt sprawy wynika, że Spółka B. (Spółka przejmowana) połączyła się ze Spółką A. (Spółka przejmująca), a połączenie nastąpiło w trybie art. 492 § 1 Kodeksu spółek handlowych. Skutkiem przejęcia przez Spółkę A. Spółki B. było wstąpienie we wszystkie prawa i obowiązki Spółki przejmowanej, a także obowiązki publicznoprawne, w tym odpowiedzialność za delikty administracyjne.

Skargę kasacyjną od powyższego wyroku do Naczelnego Sądu Administracyjnego wywiodła Spółka A. Zaskarżając wyrok w całości, na podstawie art. 174 pkt 1 i 2 p.p.s.a. zarzuciła:

I) naruszenie przepisów prawa materialnego, tj.:

1) art. 32 ust. 1 lit. d w zw. z art. 32 ust. 2 RODO, poprzez ich niewłaściwe zastosowanie, tj. uznanie przez Sąd pierwszej instancji, że skarżąca nie wdrożyła odpowiednich środków bezpieczeństwa organizacyjnego, a więc rzekomo "nie podjęła minimalnych działań z w celu zweryfikowania czy tworzony przez nią system działa poprawnie", z uwagi na brak regularnego sprawdzania, czy następuje walidacja numeru POS z numerem wniosku, podczas gdy art. 32 ust. 1 lit. d w zw. z art. 32 ust. 2 RODO nie wymaga od administratora doboru konkretnych, opisanych w RODO, środków bezpieczeństwa oraz nie wymaga zapewnienia ich skuteczności, ale wdrożenia środków dostosowanych do dokonanej przez administratora oceny ryzyka;

2) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a RODO, poprzez ich niewłaściwe zastosowanie i uznanie hipotetycznej obawy przed utratą kontroli abonentów nad swoimi danymi osobowymi za niemajątkową szkodę, a tym samym czynnik obciążający, wpływający na wysokość administracyjnej kary pieniężnej, pomimo braku dowodów przemawiających za obawą tych podmiotów o swoje dane, co skutkowało nieuchyleniem nieproporcjonalnej administracyjnej kary pieniężnej nałożonej na skarżącą;

3) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a RODO, poprzez ich niewłaściwe zastosowanie i uznanie, że naruszenie trwało do momentu otrzymania przez Spółkę B. certyfikatów potwierdzających zgodność działań i procedur tej Spółki z normami ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019, tj. do dnia 22 lipca 2020 r., podczas gdy certyfikaty te mają charakter deklaratoryjny, a zatem naruszenie trwało najpóźniej do dnia 10 lutego 2020 r., tj. do dnia sporządzenia "Raportu z analizy. Analiza przebiegu procesów przetwarzania danych osobowych w B. Sp. z o.o." (poprzedzającego certyfikację ISO), który potwierdził poprawne wdrożenie RODO w Spółce B., co skutkowało nieuchyleniem nieproporcjonalnej administracyjnej kary pieniężnej nałożonej na skarżącą;

4) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a RODO, poprzez ich niewłaściwe zastosowanie i uznanie objęcia naruszeniem numerów PESEL za czynnik obciążający, wpływający na wysokość administracyjnej kary pieniężnej, podczas gdy numer PESEL nie stanowi danych szczególnej kategorii, jego wyciek nie kreuje automatycznie wysokiego ryzyka naruszenia praw i wolności, i nie jest możliwe zaciągnięcie kredytu lub pożyczki na podstawie samego numeru PESEL, co skutkowało nieuchyleniem nieproporcjonalnej administracyjnej kary pieniężnej nałożonej na skarżącą;

5) art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. h RODO w zw. z art. 153 p.p.s.a., poprzez ich niewłaściwe zastosowanie i wbrew wytycznym zawartym w wyroku WSA w Warszawie z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 nieuwzględnienie przy nakładaniu administracyjnej kary pieniężnej faktu zgłoszenia naruszenia przez Spółkę B. Prezesowi UODO, jako czynnika łagodzącego, co skutkowało nieuchyleniem nieproporcjonalnej administracyjnej kary pieniężnej nałożonej na skarżącą;

II) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 7, art. 77 § 1 i art. 80 k.p.a. w zw. z art. 151 p.p.s.a., poprzez brak rzetelnej kontroli zaskarżonej decyzji i oddalenie skargi, pomimo braku wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego oraz braku swobodnej oceny dowodów, co skutkowało błędnymi ustaleniami faktycznymi, że:

- podmiotom, których dane były objęte naruszeniem, została wyrządzona szkoda niemajątkowa, polegająca na obawie o utratę kontroli nad swoimi danymi osobowymi, choć wystąpienie tej hipotetycznej szkody oraz jej wysokość nie zostały w żaden sposób wykazane przez organ,

- Spółka B. nie zastosowała odpowiednich środków bezpieczeństwa organizacyjnego, ponieważ w ocenie Sądu pierwszej instancji i organu konieczne było regularne sprawdzanie, czy następuje walidacja numeru POS z numerem wniosku, chociaż nie zostały przedstawione dowody potwierdzające, dlaczego Spółka B. miała zastosować taki środek bezpieczeństwa organizacyjnego,

co skutkowało nieuchyleniem nieproporcjonalnej administracyjnej kary pieniężnej nałożonej na Spółkę A., pomimo przyjęcia odpowiednich środków bezpieczeństwa organizacyjnego.

Wskazując na powyższe zarzuty, skarżąca kasacyjnie wniosła o uchylenie zaskarżonego wyroku w całości, rozpoznanie skargi oraz uchylenie decyzji organu, względnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu w Warszawie do ponownego rozpoznania. Ponadto wniosła o zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych oraz zwrotu kwoty 51 zł uiszczonej tytułem opłaty skarbowej od pełnomocnictwa. Wniosła o rozpoznanie skargi kasacyjnej na rozprawie.

W uzasadnieniu skargi kasacyjnej przedstawiła argumentację mającą wykazać zasadność podniesionych w niej zarzutów.

W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie.

Na rozprawie w dniu 7 maja 2026 r. pełnomocnik organu wniósł o zasądzenie zwrotu kosztów postępowania według norm przepisanych.

Naczelny Sąd Administracyjny zważył, co następuje:

W świetle art. 174 p.p.s.a. skargę kasacyjną można oprzeć na następujących podstawach:

1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,

2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, ponieważ w świetle art. 183 § 1 p.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie nieważność postępowania. Jeżeli zatem nie wystąpiły przesłanki nieważności postępowania wymienione w art. 183 § 2 p.p.s.a., a w rozpoznawanej sprawie przesłanek tych brak, to Sąd związany jest granicami skargi kasacyjnej. Oznacza to, że Sąd nie jest uprawniony do samodzielnego dokonywania konkretyzacji zarzutów skargi kasacyjnej, a upoważniony jest do oceny zaskarżonego orzeczenia wyłącznie w granicach przedstawionych we wniesionej skardze kasacyjnej.

Skarga kasacyjna nie zawiera usprawiedliwionych podstaw.

Przed przystąpieniem do oceny zarzutów skargi kasacyjnej, przypomnieć należy, że zgodnie art. 153 p.p.s.a. ocena prawna i wskazania co do dalszego postępowania wyrażone w orzeczeniu sądu wiążą w sprawie organy, których działanie, bezczynność lub przewlekłe prowadzenie postępowania było przedmiotem zaskarżenia, a także sądy, chyba że przepisy prawa uległy zmianie. Oznacza to, że wskazania i wykładnia zawarte w prawomocnym wyroku WSA w Warszawie z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 wiążą również Naczelny Sąd Administracyjny w procesie oceny zarzutów skargi kasacyjnej.

Jeśli chodzi o zarzut piąty skargi kasacyjnej, sformułowany jako naruszenie prawa materialnego, tj. art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. h RODO w zw. z art. 153 p.p.s.a., wskazać należy, że uzasadnieniu w/w wyroku z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 dokonano następującej oceny: "Zdaniem Sądu niezrozumiałe jest także stanowisko Prezesa UODO zawarte w zaskarżonej decyzji, że żadnego wpływu na zastosowanie ww. sankcji nie miał sposób, w jaki organ dowiedział się o naruszeniu. Warto bowiem zauważyć, że art. 83 ust. 2 lit. h RODO stanowi, że decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie. Tym samym – zdaniem Sądu – okoliczność ta powinna być rozważona przez Prezesa UODO w uzasadnieniu zaskarżonej decyzji w kontekście okoliczności mających wpływ na wysokość administracyjnej kary pieniężnej, tym bardziej, że organ ustalił na wstępie zaskarżonej decyzji, że to sama Spółka zgłosiła do Urzędu Ochrony Danych Osobowych 24 grudnia 2019 r. fakt naruszenia ochrony danych osobowych abonentów usług przedpłaconych, które polegało na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu przez nią 142.222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114.963 klientów w zakresie imienia i nazwiska, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego, numeru telefonu, numeru NIP oraz nazwy podmiotu.". Zarzut, który sformułowano w uzasadnieniu powołanego wyroku, podnosi brak rozważań organu, a nie ich wadliwość, w kwestii uwzględnienia jednej z przesłanek miarkowania kary, określonej w art. 83 ust. 2 lit. h RODO. Ponownie rozpoznając sprawę, Prezes UODO stwierdził, że dokonując zgłoszenia naruszenia ochrony danych osobowych Spółka B. zrealizowała obowiązek prawny, o którym mowa w art. 33 RODO. Zdaniem organu, realizacja ciążących na administratorze obowiązków prawnych jest neutralna i sama w sobie nie stanowi okoliczności łagodzącej. Na poparcie swojego stanowiska organ przytoczył art. 29 Wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów RODO (strona nr 33 uzasadnienia decyzji organu). W konsekwencji, tak sformułowany zarzut kasacyjny należało uznać za chybiony, bowiem ponownie rozpoznając sprawę organ ocenił przesłankę z art. 83 ust. 2 lit. h RODO w procesie miarkowania kary.

Na uwzględnienie nie zasługiwał również zarzut trzeci skargi kasacyjnej, podnoszący naruszenie art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a RODO, którym skarżąca kasacyjnie w istocie kwestionuje ustalenia dotyczące czasu trwania naruszenia. W świetle wskazań zawartych w prawomocnym wyroku WSA w Warszawie z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21, organ miał ocenić czas trwania naruszenia w kontekście wejścia w życie przepisów RODO, jak również kwestię profesjonalnego przetwarzania danych osobowych przez Spółkę, przy określaniu wagi naruszenia. Uznać należy, że trafnie przyjął organ, iż dopiero z datą uzyskania certyfikacji, co miało miejsce w dniu 22 lipca 2020 r., Spółka B. mogła powołać się na fakt, że spełnia wymogi ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019. Z samego faktu rozpoczęcia procesu uzyskania zgodności z normami ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019 nie można dowieść, że proces ten zakończy się pomyślnie. Powyższe potwierdził raport z audytu przetwarzania danych osobowych przez Spółkę B. po wdrożeniu wymogów RODO, datowany na dzień 10 lutego 2020 r., na który powołuje się skarżąca kasacyjnie jako na końcową datę naruszenia. Z zalecenia do punktu 5 "Zasady przetwarzania danych osobowych (art. 5, art. 24 i art. 32)" oraz "Przetwarzanie zgodne z prawem" ppkt 5.7 "integralność i poufność" wynika bowiem, że należy opracować zasady testowania, mierzenia i oceniania skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania. Zasadnie zatem przyjęto, że w dacie wskazanej przez skarżącą kasacyjnie nie doszło do zakończenia trwania naruszenia, gdyż na Spółkę B. nałożono obowiązki związane z prawidłowym zabezpieczeniem danych. W konsekwencji prawidłowe jest stanowisko Sądu pierwszej instancji, że Prezes UODO poprawnie ustalił okres trwania naruszenia, przyjmując, że trwało ono od dnia 25 maja 2018 r. (wejście w życie RODO) do dnia 22 lipca 2020 r. – daty uzyskania certyfikacji, co wynika z faktu, że przetwarzanie danych osobowych abonentów usług przedpłaconych trwało już w dacie wejścia w życie RODO. Natomiast Spółka B. była zobowiązana, zgodnie z motywem 171 RODO i art. 99 ust. 2 RODO, do posiadania w dniu wejścia w życie RODO rozwiązań technicznych i organizacyjnych w postaci regularnego testowania i mierzenia wdrożonych rozwiązań – środków bezpieczeństwa przetwarzania danych, czego nie dopełniła, a uchybienie to zostało usunięte dopiero w trakcie trwania postępowania administracyjnego. Trafnie zauważa również WSA w Warszawie, że przepisy unijne wyznaczyły administratorom danych dwuletni okres na zaprojektowanie istniejących systemów przetwarzania danych, a więc tak, aby spełniały wymogi RODO. Obowiązek wynikający z art. 25 ust. 1 RODO nie dotyczy jedynie ochrony danych w fazie projektowania, ale odnosi się również do samego etapu przetwarzania danych.

Odnosząc się natomiast do zarzutów drugiego i czwartego skargi kasacyjnej, podnoszących naruszenie art. 83 ust. 1 w zw. z art. 83 ust. 2 lit. a RODO, przypomnieć należy, że w powoływanym prawomocnym wyroku WSA w Warszawie z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 stwierdzono: "Sąd, mając na względzie art. 83 ust. 2 lit. a RODO wskazuje ponadto, że Prezes UODO w sposób prawidłowy wyjaśnił kwestię charakteru naruszenia, mając na względzie okoliczności wynikające z ustaleń organu, jak również z okoliczności przedstawiane przez Spółkę w toku kontroli i w toku postępowania administracyjnego. W tym zakresie Sąd uznaje, że nie doszło do naruszenia art. 83 ust. 2 lit. a RODO.". Powołane zarzuty należało zatem uznać za nieuzasadnione.

Z kolei w kwestii zarzutu pierwszego skargi kasacyjnej, podnoszącego naruszenie art. 32 ust. 1 lit. d w zw. z art. 32 ust. 2 RODO, również przypomnieć należy, że w w/w prawomocnym wyroku z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21 wskazano: "Zdaniem Sądu organ poczynił też niezbędne ustalenia faktyczne do zastosowania art. 25 ust. 1 RODO i art. 32 ust. 1 lit. b i d RODO". W dalszej części uzasadnienia tego wyroku WSA w Warszawie wskazał: "Przepis art. 32 ust. 1 RODO stanowi, że uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (lit. b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; (lit. d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Zdaniem Sądu w kontekście ww. przepisów prawidłowe było stanowisko organu, że przyjęty przez Spółkę środek bezpieczeństwa, mający zapewnić odporność systemów informatycznych, polegający na weryfikacji tylko według numeru Id wniosku, zamiast także Id POS, wskutek czego doszło do naruszenia poufności danych, nie może być uznany za środek bezpieczeństwa, o którym mowa w przywołanych wyżej przepisach RODO. Do naruszenia ochrony danych osobowych abonentów usług przedpłaconych doszło bowiem w wyniku wykorzystania podatności systemu informatycznego (usługi generującej potwierdzenia rejestracji), umożliwiającej nieuprawniony dostęp do danych.". Zdaniem NSA, w uzasadnieniu powołanego wyroku WSA w Warszawie przesądził również, że nie doszło do naruszenia art. 32 ust. 1 lit. d w zw. z art. 32 ust. 2 RODO.

Chybiony okazał się również zarzut naruszenia prawa procesowego, przy pomocy którego skarżąca kasacyjnie próbuje wzruszyć ocenę prawną dotyczącą prawa materialnego, tj. pojęcie wyrządzenia szkody niemajątkowej. Z kolei kwestia stosowania nieodpowiednich środków bezpieczeństwa organizacyjnego została już prawomocnie przesądzona w powołanym wyroku z dnia 21 października 2021 r. sygn. akt II SA/Wa 272/21.

Z tych względów Naczelny Sąd Administracyjny, na podstawie art. 184 p.p.s.a., orzekł, jak w pkt 1 sentencji wyroku.

O kosztach postępowania kasacyjnego orzeczono w pkt 2 sentencji wyroku na podstawie art. 204 pkt 1 i art. 209 oraz art. 205 § 2 w zw. z § 14 ust. 1 pkt 2 lit. c w zw. z § 14 ust. 1 pkt 1 lit. a w zw. z § 2 pkt 7 rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności radców prawnych (t.j.: Dz. U. z 2026 r., poz. 118).