Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Piotr Korzeniowski Sędziowie Sędzia NSA Wojciech Jakimowicz Sędzia del. WSA Maciej Kobak (spr.) po rozpoznaniu w dniu 5 lipca 2024 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Prezesa Sądu Rejonowego [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 lutego 2022 r., sygn. akt II SA/Wa 3309/21 w sprawie ze skargi Prezesa Sądu Rejonowego [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 13 lipca 2021 r. nr DKN.5131.22.2021.AZ.131317 w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wyrokiem z dnia 15 lutego 2022 r. sygn. akt II SA/Wa 3309/21 Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Prezesa Sądu Rejonowego [...] (dalej: "Prezes Sądu" lub "administrator") na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 13 lipca 2021 r. nr DKN.5131.22.2021.AZ.131317 w przedmiocie przetwarzania danych osobowych.

Powyższy wyrok zapadł w następujących okolicznościach faktycznych i prawnych sprawy.

Na skutek incydentu z 20 lutego 2020 r. to jest zagubienia nieszyfrowanej przenośnej pamięci zewnętrznej typu pendrive przez kuratora sądowego, administrator w dniu 28 lutego 2020 r.skierował do Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych, zarejestrowane pod sygnaturą DKN.5130.1526.2020. W jego treści poinformował o naruszeniu ochrony danych osobowych 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego, w zakresie imion i nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, danych dotyczących zarobków i/lub posiadanego majątku, serii i numerów dowodów osobistych, numerów telefonów, danych dotyczących zdrowia oraz danych dotyczących wyroków skazujących.

Prezes Urzędu Ochrony Danych Osobowych (dalej także Prezes Urzędu), wystąpił o ponowne, prawidłowe powiadomienie osób fizycznych, albowiem komunikat skierowany do osób, których dane dotyczą, nie spełniał warunków określonych w rozporządzeniu 2016/679 w zakresie opisu możliwych konsekwencji naruszenia ochrony danych osobowych oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ponadto, pismami z dnia 8 maja i z dnia 30 lipca 2020 r. Prezes Urzędu zwrócił się o złożenie dodatkowych wyjaśnień, między innymi: 1. Czy i w jaki sposób rekomendowano kuratorom sądowym zabezpieczanie danych zapisywanych na zewnętrznych nośnikach pamięci. 2. Czy administrator danych osobowych opracował i wdrożył procedury korzystania z zewnętrznych nośników pamięci oraz zabezpieczania danych osobowych, przetwarzanych na nośnikach zewnętrznych poza siedzibą administratora. 3. Czy zagubiony nośnik pamięci został wydany kuratorowi przez administratora, czy też należał do kuratora. 4. Jeśli zagubiony nośnik był własnością kuratora, czy procedury administratora danych dopuszczają taką możliwość oraz w jaki sposób sprawowana jest kontrola nad takim przetwarzaniem danych osobowych.

W odpowiedzi, w dniu 18 sierpnia 2020 r. Administrator poinformował o zamieszczeniu uzupełnionego komunikatu o naruszeniu ochrony danych osobowych, zaś pismem z dnia 19 sierpnia 2020 r. odpowiedział na część zadanych przez Prezesa Urzędu pytań.

W związku z przedstawionymi wyjaśnieniami, pismem z dnia 28 września 2020 r. Prezes Urzędu wszczął z urzędu postępowanie administracyjne, wobec możliwości naruszenia przez administratora danych, obowiązków wynikających z rozporządzenia 2016/679, tj. art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2, w związku z naruszeniem ochrony danych osobowych.

Ponadto, Prezes Urzędu wezwał administratora danych do przedstawienia kolejnych wyjaśnień.

W odpowiedzi Administrator pismem z dnia 14 października 2020 r. wyjaśnił, iż przed wystąpieniem naruszenia wdrożył system ochrony danych osobowych w postaci zasad przetwarzania danych osobowych, które zostały określone w Polityce Bezpieczeństwa Sądu Rejonowego [...] i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Sądzie Rejonowym [...].

Jak dalej wskazał Administrator, zgodnie z treścią Instrukcji Zarządzania Systemem Informatycznym obowiązek zabezpieczenia nośnika spoczywa na użytkowniku, który dokonał jego zabezpieczenia poprzez przechowywanie go w zamykanej torbie służbowej, natomiast po wystąpieniu przedmiotowego naruszenia została zaktualizowana procedura dotycząca wydawania nośników danych, poprzez wprowadzenie ewidencjonowania, szyfrowania i zabezpieczania nośników hasłem. Wszyscy pracownicy Sądu, w tym kuratorzy, przechodzą szkolenia z zakresu ochrony danych i zasad postępowania z danymi przetwarzanymi w Sądzie Rejonowym [...].

W związku z powyższym, w dniu 29 marca 2021 r. Prezes Urzędu wezwał Sąd do przedstawienia kolejnych wyjaśnień, w postaci wskazania przepisów, stanowiących podstawę prawną wyznaczenia kuratora sądowego w odniesieniu do każdej z przyznanych mu do prowadzenia spraw, w ramach których dane osobowe były przetwarzane na zagubionym nośniku pamięci.

W odpowiedzi przesłanej do organu nadzorczego w dniu 13 kwietnia 2021 r. Administrator wskazał, iż obowiązki i uprawnienia kuratorów sądowych oraz prawne uwarunkowania tej funkcji określone są w ustawie z dnia 21 lipca 2001 r. o kuratorach sądowych (Dz. U. z 2020 r., poz. 167), zwana dalej "ustawą o kuratorach sądowych".

Prezes Urzędu Ochrony Danych Osobowych w dniu 13 lipca 2021 r. stwierdził naruszenie przez Prezesa Sądu Rejonowego [...] przepisów art. 5 ust. 1 lit. f) art. 24 ust. 1 art. 25 ust. 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35) (dalej jako: rozporządzenie 2016/679), polegające na niewdrożeniu przez Prezesa Sądu Rejonowego [...] odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych przy użyciu przenośnych pamięci zewnętrznych, zapewniających bezpieczeństwo zapisanych tam danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, co skutkowało utratą przenośnej pamięci zewnętrznej z danymi osobowymi, zapisanymi na niej w sposób niezabezpieczony i nałożył na Prezesa Sądu Rejonowego [...] za naruszenie art. 5 ust. 1 lit. f), art. 25 ust, 1, art. 32 ust. 1 lit. b) i d).

Skargę od powyższej decyzji wniósł Prezes Sądu Rejonowego [...] i zarzucając jej naruszenie przepisów postępowania administracyjnego oraz ogólnego rozporządzenia o ochronie danych, wniósł o jej oddalenie.

Opisanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę.

W ocenie Sądu I instancji organ trafnie odkodował pojęcie "poufności danych", jako pewnego rodzaju właściwość sprawiającą, że dane nie zostaną udostępnione nieuprawnionym podmiotom. Może być ona osiągana między innymi dzięki zastosowaniu środków technicznych i organizacyjnych, adekwatnych do zakresu danych, kontekstu przetwarzania oraz zidentyfikowanych ryzyk. Wskazana zasada, jak wynika z ustalonego stanu faktycznego, została naruszona przez Prezesa Sądu poprzez wydanie do użytku służbowego kuratorom sądowym niezabezpieczonego przenośnego nośnika pamięci oraz zobowiązanie ich do wdrożenia zabezpieczeń tej pamięci wyłącznie we własnym zakresie, co w następstwie zagubienia takiego nośnika przez kuratora sądowego skutkowało umożliwieniem osobom nieuprawnionym dostępu do danych osobowych przetwarzanych na tym nośniku.

Zdaniem WSA niespornym było to, że jedynym zabezpieczeniem zastosowanym przez kuratora było przechowywanie nośnika w zamykanej torbie służbowej. Omawiając powyższą problematykę Sąd wskazał, iż "Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka".

W realiach sprawy nie sposób też pominąć tego, że sam skarżący, per facta concludentia, przyznał, iż stosowane przez niego (przed omawianym incydentem) procedury bezpieczeństwa, nie były wystarczającymi. Po omawianym zagubieniu nośnika danych osobowych, wprowadził przecież obowiązek szyfrowania danych na takich nośnikach. Wydanie zarządzenia nr 27/2020 nie zwolniło jednak Prezesa Sądu z odpowiedzialności za wcześniejsze ignorowanie nie tylko obowiązków opisanych w przepisach przywołanych w sentencji decyzji, ale nawet własnych procedur bezpieczeństwa skonkretyzowanych w Instrukcji Zarządzania Systemem Teleinformatycznym służącym do przetwarzania danych osobowych w Sądzie. Nie sposób przecież pomijać faktu, iż stosownie do art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679 to administrator danych, nie zaś pracownik lub osoba wykonująca zadania służbowe, jest zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych odbywało się zgodnie z wymaganiami wskazanego rozporządzenia.

Powyższy wyrok w całości zaskarżył skarżący, zarzucając nieważność postępowania, polegającą na tym, że Prezes Sądu Rejonowego [...] nie ma zdolności sądowej do występowania w niniejszym postępowaniu w charakterze strony, co wynika z treści art. 102 ust. 1. pkt. 1 ustawy o ochronie danych osobowych stanowiącej podstawę prawną decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 13 lipca 2021 roku w przedmiocie nałożenia na Prezesa Sądu Rejonowego [...] administracyjnej kary pieniężnej, oraz naruszenie przepisów prawa materialnego i procesowego tj.;

a) rażące naruszenie 102 ust. 1. pkt. 1 ustawy o ochronie danych osobowych w związku z art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych w związku z art. 83 rozporządzenia 2016/679 poprzez nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężnej na Prezesa Sądu Rejonowego [...] będącego organem jednostki sektora finansów publicznych w sytuacji, gdy: - stanowiące podstawę niniejszego zarzutu przepisy uprawniają Prezesa Urzędu Ochrony Danych Osobowych wyłącznie do nakładania kary pieniężnej na jednostki sektora finansów publicznych, którym w rozumieniu ustawy o finansach publicznych jest sąd, a nie jego organ, - w uzasadnieniu skarżonego wyroku wskazano, iż obciążenie obowiązkiem fiskalnym dotyczy Sądu Rejonowego tj. jednostki finansów publicznych, co przeczy treści rozstrzygnięcia tego Sadu jak i treści zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych ,

b) rażące naruszenie 102 ust. 1. pkt. 1 ustawy o ochronie danych osobowych w związku z art 175db ustawa z dnia 27 lipca 2001 r. Prawo o ustroju sądów powszechnych poprzez nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych kary pieniężnej na Prezesa Sądu Rejonowego [...] będącego organem jednostki sektora finansów publicznych w sytuacji, gdy administratorami danych osobowych przetwarzanych w postępowaniach sądowych w ramach sprawowania wymiaru sprawiedliwości albo realizacji zadań z zakresu ochrony prawnej są sądy, a nie ich organy.

c) art. 24 ust 1 RODO w związku z art. 32 ust 1 i 2 RODO polegające na przyjęciu, że z art. 32 ust 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych, podczas gdy obowiązek wynikający z art. 32 ust. 1 i 2 RODO dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, tym samym poprzez błędne uznanie, iż zobowiązanie kuratorów do podjęcia samodzielnie działań zmierzających do zapewnienia ochrony danych osobowych było niewystarczające.

d) 141 § 4 ppsa poprzez brak uzasadnienia rozstrzygnięcia w zakresie obciążenia obowiązkiem zapłaty kary pieniężnej Prezesa Sądu Rejonowego [...], a nie jednostki sektora finansów publicznych - Sądu.

e) art. 32 ust. 1 i w zw. z art. 24 ust. 1 RODO w zw. z art. 33 ust. 1 RODO i art. 34 ust. 1 RODO uzasadnienia wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. stosowanych środków bezpieczeństwa, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżący wdrożył środki techniczne służące ochronie przetwarzanych danych osobowych, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżącego przesłanki z art. 24 ust. 1 RODO oraz z art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej.

Na podstawie powyższych zarzutów wniesiono o uchylenie zaskarżonego wyroku w całości i umorzenie postępowania wobec Prezesa Sądu Rejonowego [...], ewentualnie uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania; oraz zasądzenie na rzecz skarżącego kosztów postępowania.

Pismem z 4 sierpnia 2022 r. skarżący oświadczył o zrzeczeniu się rozprawy.

Naczelny Sąd Administracyjny zważył, co następuje:

Wobec oświadczenia skarżącego kasacyjnie o zrzeczeniu się rozprawy, sprawa została rozpoznania na posiedzeniu niejawnym – art. 182 § 2 p.p.s.a.

Na wstępie przypomnieć należy, że zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn.: Dz. U. z 2024 r. poz. 935 z późn. zm., dalej: p.p.s.a.), Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują enumeratywnie wyliczone w art. 183 § 2 powołanej ustawy przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej. Związanie Naczelnego Sądu Administracyjnego granicami skargi kasacyjnej polega na tym, że jest on władny badać naruszenie jedynie tych przepisów, które zostały wyraźnie wskazane przez stronę skarżącą. Ze względu na ograniczenia wynikające z regulacji prawnych, Naczelny Sąd Administracyjny nie może we własnym zakresie konkretyzować zarzutów skargi kasacyjnej, uściślać ich, ani w inny sposób korygować (zob. wyrok NSA z dnia 8 grudnia 2015 r., II OSK 909/14, CBOSA).

W sprawie nie zachodzi nieważność postępowania, o której mowa w art. 183 § 2 pkt 2 p.p.s.a. - strona nie miała zdolności sądowej lub procesowej, organu powołanego do jej reprezentowania lub przedstawiciela ustawowego, albo gdy pełnomocnik strony nie był należycie umocowany.

Argumentacja zaprezentowana przez stronę w tym zakresie w istocie zmierza do wykazania, że w decyzji kwestionowanej skargą błędnie określono administratora danych osobowych; w ocenie skarżącego organ wadliwie przyjął, iż administratorem danych osobowych jest Prezes Sądu Rejonowego [...], podczas gdy w jego ocenie powinien to być Sąd Rejonowy [...].

W sprawie nie ma sporu, że PUODO nałożył karę administracyjną na Prezesa Sądu [...], jako administratora danych osobowych. Karę nałożono z uwagi na naruszenie zasad przetwarzania danych osobowych przez kuratora sądowego. Zgodnie z art. 9b ustawy z dnia 27 lipca 2001 r. o kuratorach sądowych (Dz. U. 2020 r. poz. 167 ze zm.; dalej: "u.k.s.") "Administratorem danych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego jest prezes sądu,

w którym kurator sądowy pełni obowiązki służbowe.". Wobec normatywnego wyznaczenia prezesa sądu na administratora danych osobowych przetwarzanych przez kuratorów sądowych, nie ma wątpliwości, że posiada on zdolność sądową

w postępowaniu kwestionującym decyzję administracyjną nakładającą na niego karę za niezgodne z prawem przetwarzanie tych danych. Na marginesie należy odnotować, że uwzględnienie stanowiska skarżącego musiałoby prowadzić do odrzucenia skargi

i uprawomocnienia się decyzji, którą sam poddał kontroli sądu administracyjnego.

II. Niezasadny okazał się zarzut naruszenia art. 102 ust. 1 pkt 1 ustawy o ochronie danych osobowych w związku z art. 9 pkt 1-12 i 14 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych w związku z art. 83 RODO.

W ocenie skarżącego Prezes Sądu Rejonowego [...] nie jest jednostką sektora finansów publicznych a zatem wymierzenie mu kary administracyjnej na tej podstawie nie było dopuszczalne.

Naczelny Sąd Administracyjny potwierdza, że stosownie do art. 102 ust. 1 pkt 1 ustawy o ochronie danych osobowych karę pieniężna można nałożyć na jednostki sektora finansów publicznych, do których art. 9 pkt 1 ustawy o finansach publicznych zalicza sądy, a nie prezesów sądów. Dopowiedzieć jednak należy, że po myśli art. 102 ust. 3 ustawy o ochronie danych osobowych administracyjne kary pieniężne, o których mowa w ust. 1 PUODO nakłada na podstawie i na warunkach określonych w art. 83 RODO.

Zgodnie z art. 83 ust. 2 lit c RODO kary administracyjne na podstawie tego przepisu nakłada się na administratora danych osobowych lub na podmiot przetwarzający. W sprawie jest bezsporne, że decyzja Prezesa Urzędu Ochrony Danych Osobowych z 13 lipca 2021 roku nakładała karę administracyjną na Prezesa Sądu Rejonowego [...], jako administratora danych osobowych – okoliczność ta nie została zakwestionowana na etapie postępowania kasacyjnego.

Stosownie do postanowień art. 4 pkt 7 RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Z powyższego wynika, że prawodawca unijny umożliwił państwom członkowskim określenie, kto jest administratorem danych osobowych, jeżeli cele i sposoby przetwarzania danych osobowych określają przepisy krajowe.

Na gruncie obowiązujących w dacie wydania zaskarżonej decyzji przepisów prawa prezesi sądów, będący organami sądów (art. 21 § 1 p.u.s.p.), posiadali status administratora danych osobowych: art. 57 § 4 p.u.s.p., art. 175a § 1 i § 4 p.u.s.p.

Co zasadnicze w niniejszej sprawie, zgodnie z art. 9b ustawy o kuratorach sądowych prezes sądu jest administratorem danych osobowych przetwarzanych w celu wykonania zadań lub obowiązków przez kuratora sądowego pełniącego obowiązki służbowe we właściwym dla niego sądzie. Okolicznością niekwestionowaną jest, że w dniu 20 lutego 2020 r. Kurator Sądowy przy Sądzie Rejonowym [...] zgubił służbowy nośnik przenośnej pamięci zewnętrznej typu pendrive, na którym znajdowały się niezabezpieczone technicznie żadnym szyfrem czy hasłem dane osobowe 400 osób, podlegających nadzorowi kuratorskiemu i objętych wywiadem środowiskowym przez kuratora sądowego, w zakresie imion i nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, danych dotyczących zarobków i/lub posiadanego majątku, serii i numerów dowodów osobistych, numerów telefonów, danych dotyczących zdrowia oraz danych dotyczących wyroków skazujących.

Nie ma wątpliwości, że Prezes Sądu Rejonowego [...] jest administratorem danych osobowych przetwarzanych przez kuratora sądowego pełniącego obowiązki w podległym mu sądzie, a zatem jest podmiotem, na który stosownie do rygorów przewidzianych w art. 83 ust. 4 lit. a i ust. 5 lit. a RODO, można nałożyć karę administracyjną za naruszenie art. 5 ust. 1 lit. f), art. 25 ust, 1, art. 32 ust. 1 lit. b) i d) oraz art. 32 ust. 2 RODO.

Z wyłożonych względów analizowany zarzut kasacyjny nie mógł zostać uwzględniony.

III. Negatywnej weryfikacji podlegał zarzut błędnej wykładni i niewłaściwego zastosowania art. 24 ust. 1 RODO w związku z art. 32 ust. 1 i 2 RODO. W jego ramach skarżący wytknął, że WSA wadliwie przyjął, iż z art. 32 ust. 1 i 2 RODO wynika obowiązek zastosowania skutecznych środków technicznych i organizacyjnych, podczas gdy obowiązek wynikający z tego przepisu dotyczy zastosowania (wdrożenia) środków odpowiednich, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. W konsekwencji, zdaniem skarżącego WSA błędnie uznał, że zobowiązanie kuratorów do podjęcia samodzielnie działań zmierzających do zapewnienia ochrony danych osobowych było niewystarczające.

Stosownie do postanowień art. 24 ust. 1 RODO "[u]względniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane."

Artykuł 24 RODO przewiduje, że na administratorze danych osobowych ciąży ogólny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić, by przetwarzanie to odbywało się zgodnie z tym rozporządzeniem, i być w stanie to wykazać (wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 24).

Artykuł 32 RODO określa natomiast obowiązki administratora i ewentualnego podmiotu przetwarzającego w zakresie bezpieczeństwa tego przetwarzania. I tak ust. 1 tego artykułu stanowi, że powinni oni wdrożyć odpowiednie środki techniczne

i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z tym przetwarzaniem, uwzględniając stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele danego przetwarzania. Podobnie

ust. 2 tego artykułu stanowi, że oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem,

w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 26, 27).

Z brzmienia art. 24 i 32 RODO wynika zatem, że odpowiedni charakter środków wdrożonych przez administratora należy oceniać w sposób konkretny, biorąc pod uwagę różne kryteria, o których mowa w tych artykułach, oraz potrzeby ochrony danych specyficznie związane z danym przetwarzaniem, a także wynikające z niego ryzyko, tym bardziej że wspomniany administrator musi być w stanie wykazać zgodność tych środków z tym rozporządzeniem, której to możliwości zostałby pozbawiony, gdyby dopuścić domniemanie niewzruszalne (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 30-32).

Tę literalną wykładnię potwierdza lektura rzeczonych art. 24 i 32 w związku z art. 5 ust. 2 i art. 82 wspomnianego rozporządzenia w świetle jego motywów 74, 76 i 83, z których wynika w szczególności, że administrator jest zobowiązany do zminimalizowania ryzyka naruszenia danych osobowych, a nie do zapobieżenia ich naruszeniu (zob. podobnie wyrok z dnia 14 grudnia 2023 r., Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, pkt 33-38).

Na etapie postępowania nie zakwestionowano, że od 3 listopada 2017 r.

w Sądzie Rejonowym [...] funkcjonuje system ochrony danych osobowych

w postaci zasad przetwarzania danych osobowych, które zostały określone w Polityce Bezpieczeństwa Sądu Rejonowego [...] i Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Sądzie Rejonowym [...].

Z przedłożonej do akt sprawy przez skarżącego analizy ryzyka przeprowadzonej przed wystąpieniem naruszenia, którego dotyczy sprawa wynika, że zagrożenie "Zagubienie sprzętu, nośników" oszacowano na "6". Stosownie do przedstawionej dokumentacji jest to średni poziom ryzyka, co zobowiązywało Administratora do wdrożenia zabezpieczeń, celem jego obniżenia do poziomu niskiego. W ramach realizacji tego obowiązku Prezes Sądu Rejonowego [...] zorganizował "Szkolenia dla personelu dotyczącego potencjalnych zagrożeń".

Skarżący nie dostrzega, że podjęte przez niego działania były niewystarczające w świetle rygorów przewidzianych w art. 24 ust. 1 i art. 32 ust. 1 i ust. 2 RODO. Niewątpliwie wyposażenie kuratorów sądowych w szyfrowane nośniki pamięci przenośnej zminimalizowałoby ryzyko naruszenia zasady poufności danych osobowych, nawet w przypadku ich zgubienia. Działanie takie niewątpliwie było dostępne dla skarżącego z uwagi na dostęp do wiedzy technicznej oraz koszty. Skarżący miał świadomość szacowanego ryzyka zagubienia nośników z danymi osobowymi przetwarzanymi przez kuratorów, albowiem wynikało ono

z przeprowadzonej analizy. W takim układzie, skarżący jako administrator miał obowiązek "wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku". Poprzez wdrożenie takich środków należy rozumieć wprowadzenie zabezpieczeń, które będą adekwatne do przyjętego ryzyka, ergo będą zapobiegać naruszeniu zasad przetwarzania danych osobowych w normalnych warunkach. W realiach niniejszej sprawy nie chodziło więc o zapobieżenie zagubienia nośników z danymi osobowymi, lecz o zapobieżenie ich ujawnienia na wypadek takiego zagubienia. Działania takie niewątpliwie były dla skarżącego dostępne tak organizacyjnie, jak i kosztowo. Ponadto, jak wynika z akt sprawy, działania takie zostały wdrożone po wydaniu kwestionowanej skargą decyzji.

IV. Sąd pierwszej instancji nie naruszył 141 § 4 p.p.s.a. poprzez brak uzasadnienia rozstrzygnięcia w zakresie obciążenia obowiązkiem zapłaty kary pieniężnej Prezesa Sądu Rejonowego [...], a nie jednostki sektora finansów publicznych – Sądu. Uzasadnienie wyroku Sądu pierwszej instancji realizuje wszystkie przewidziane treścią powołanego przepisu rygory, tj. zawiera zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Argumenty wskazujące na trafność nałożenia kary na Prezesa Sądu Rejonowego [...] znajdują się na stronie 25 uzasadnienia wyroku.

V. Zarzut naruszenia art. 32 ust. 1 i w zw. z art. 24 ust. 1 RODO w zw. z art. 33 ust. 1 RODO i art. 34 ust. 1 RODO został skonstruowany wadliwie. Po pierwsze wymienione przepisy nie są przepisami postępowania, lecz przepisami prawa materialnego, określającymi obowiązki administratora danych osobowych. Po drugie, sam zarzut został zbudowany w sposób niezrozumiały. Skarżący kasacyjnie zarzuca, że naruszenie powołanych przepisów polega na "uzasadnienia wszechstronnej oraz merytorycznej oceny zgromadzonego materiału dowodowego, tj. stosowanych środków bezpieczeństwa, którego wszechstronna ocena powinna doprowadzić organ do ustalenia, że skarżący wdrożył środki techniczne służące ochronie przetwarzanych danych osobowych, co doprowadziło do niepełnego ustalenia stanu faktycznego sprawy, przede wszystkim w zakresie okoliczności mających wpływ na spełnienie przez skarżącego przesłanki z art. 24 ust. 1 RODO oraz art. 32 ust. 1 RODO, co zgodnie z art. 83 ust. 2 RODO wpływa na nałożenie oraz wysokość kary administracyjnej".

Treść zarzutu jest nielogiczna i nie da się jej skorygować w oparciu

o uzasadnienie skargi kasacyjnej, albowiem w ogóle się ono do niego nie odnosi. Można się domyślać, że intencją skarżącego kasacyjnie było zakwestionowanie przyjętych przez WSA ustaleń faktycznych, jednak nawet w takim układzie, celu tego nie można skutecznie osiągnąć poprzez podniesienie zarzutu naruszenia art. 32 ust. 1 i w zw. z art. 24 ust. 1 w zw. z art. 33 ust. 1 i art. 34 ust. 1 RODO. Nie są to przepisy procesowe określające procesowe wymogi gromadzenia i oceny materiału dowodowego w sprawie.

Z podanych przyczyn Naczelny Sąd Administracyjny działając na podstawie

art. 184 p.p.s.a. oddalił skargę kasacyjną.