Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Wojciech Jakimowicz Sędziowie: sędzia NSA Olga Żurawska-Matusiak sędzia del. WSA Hanna Knysiak-Sudyka (spr.) Protokolant: asystent sędziego Aleksandra Kraus po rozpoznaniu w dniu 7 lutego 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 maja 2021 r. sygn. akt II SA/Wa 2129/20 w sprawie ze skargi Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 sierpnia 2020 r., nr ZSOŚS.421.25.2019.88353 w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 2700 (dwa tysiące siedemset) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 maja 2021 r. sygn. akt II SA/Wa 2129/20 oddalił skargę Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] r. nr [...] w przedmiocie przetwarzania danych osobowych.

Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.

Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z [...] r. nr [...], działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 z późn. zm., zwana dalej: "k.p.a."), art. 7 ust. 1, art. 60, art. 102 ust. 1 i ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. d oraz lit. i w zw. z art. 5 ust. 1 lit. e i lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b. i lit. d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2, art. 30 ust. 1 lit. d, i art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: "rozporządzenie 2016/679") stwierdził naruszenie przez skarżącą przepisów art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia RODO i nałożył na skarżącą karę pieniężną w wysokości 50.000 zł oraz w pozostałym zakresie postępowanie umorzył.

W uzasadnieniu tej decyzji organ podał, że Szkoła Główna Gospodarstwa Wiejskiego w Warszawie (dalej: "SGGW") dokonała zgłoszenia Prezesowi Urzędu Ochrony Danych osobowych faktu naruszenia ochrony danych osobowych kandydatów na studia w SGGW.

Od 19 listopada do 29 listopada 2019 r. dokonano czynności kontrolnych w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie. Zakresem kontroli objęto przetwarzanie przez Szkołę Główną Gospodarstwa Wiejskiego w Warszawie danych osobowych osób, których dotyczy naruszenie ochrony danych osobowych, zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych.

Stan faktyczny ustalony podczas kontroli szczegółowo opisano w protokole kontroli, który został podpisany przez rektora SGGW.

Na podstawie zgromadzonego w sprawie materiału dowodowego ustalono, że w procesie przetwarzania danych osobowych kandydatów na studia w SGGW Uczelnia jako administrator naruszyła przepisy o ochronie danych osobowych. Naruszenie przepisów polegało na:

1) dokonaniu w sposób niewystarczający przez administratora oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów, co stanowi naruszenie art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1 rozporządzenia 2016/679;

2) nieuwzględnianiu w sposób wystarczający przez administratora, przy korzystaniu z systemu służącego do przetwarzania danych osobowych kandydatów, zasady rozliczalności, co stanowi naruszenie art. 5 ust. 2 rozporządzenia 2016/679;

3) wypełnianiu przez inspektora ochrony danych zadań bez należytego uwzględnienia ryzyka związanego z operacjami przetwarzania, co stanowi naruszenie art. 24 ust. 1, art. 32 ust. 1, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia 2016/679;

4) nieuwzględnieniu w prowadzonym w SGGW rejestrze czynności przetwarzania danych osobowych, w zakresie czynności przetwarzania danych osobowych kandydatów na studia pierwszego, drugiego stopnia i jednolitych studiów magisterskich w SGGW wszystkich wymaganych przepisami rozporządzenia 2016/679 informacji, co stanowi naruszenie art. 30 ust. 1 lit. d rozporządzenia 2016/679.

Ustalono, że naruszenie ochrony danych osobowych kandydatów na studia w SGGW, które miało miejsce 5 listopada 2019 r., związane było z kradzieżą przenośnego prywatnego komputera pracownika SGGW dr. hab. A. G. - adiunkta w Katedrze [...] SGGW, pełniącego również funkcję sekretarza [...] SGGW. Skradziony laptop był używany przez tego pracownika do celów prywatnych i służbowych, w tym również do przetwarzania danych osobowych kandydatów na studia w SGGW na potrzeby czynności rekrutacyjnych w ramach pełnionej funkcji sekretarza [...]. Z Systemu Obsługi Kandydatów służącego do przetwarzania danych osobowych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich (zwanym dalej także: "SOK") za pomocą zaimplementowanej w nim funkcjonalności, importował na swój prywatny komputer zestawy danych osobowych, obejmujących m.in. imię, nazwisko, nazwisko rodowe, imiona rodziców, numer identyfikacyjny PESEL, płeć, narodowość, obywatelstwo, adres zamieszkania, serię i numer dowodu osobistego bądź innego dokumentu tożsamości, w tym paszportu, numer telefonu komórkowego i/lub stacjonarnego, informacje o dotychczasowym wykształceniu, informacje o kwalifikacji na studia. Uczelnia, będąca administratorem tych danych osobowych, nie posiadała informacji o tym fakcie. Operacja ta również nie była rejestrowana w SOK. Dr hab. A. G. pobrane zestawy danych przygotowywał do kwalifikacji poprzez ich odpowiednie filtrowanie w arkuszu kalkulacyjnym według odpowiednich kryteriów kwalifikacyjnych, które są określone dla poszczególnych kierunków studiów, a następnie przedstawiał na spotkaniu kwalifikacyjnym komisji rekrutacyjnej. Na podstawie pobranych zestawów danych osobowych pan dr hab. A. G. sporządzał również raporty końcowe z zestawieniami statystycznymi według wybranych kryteriów. Na skradzionym komputerze miał założony katalog z rekrutacją na konkretny rok, w którym przechowywał różne pliki raportowo-bazowe, a także inne dokumenty, jak np. odpowiedzi na pisma w sprawach związanych z rekrutacją.

Naruszenie ochrony danych osobowych dotyczy kandydatów na studia w SGGW z okresu ostatnich 5 lat i z przeprowadzonych przez Uczelnię obliczeń wynika, że obejmuje 81 624 rekordy (wpisy) w Systemie Obsługi Kandydatów.

W związku z powyższym, pismem z 19 marca 2020 r. Prezes UODO wszczął z urzędu postępowanie administracyjne w zakresie stwierdzonych uchybień, w celu ustalenia zgodności przetwarzania danych osobowych kandydatów na studia w SGGW z przepisami o ochronie danych osobowych.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego Rektor SGGW złożył wyjaśnienia i podjął polemikę z ustaleniami i ocenami organu.

Organ po zapoznaniu się z tymi wyjaśnieniami i rozważeniu całego zgromadzonego materiału dowodowego uznał jednak, że Uczelnia w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów na studia, co stanowi naruszenie art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1 rozporządzenia 2016/679, w tym nie uwzględniała w sposób wystarczający zasady rozliczalności korzystając z systemu informatycznego służącego do przetwarzania danych osobowych kandydatów na studia, co stanowi naruszenie art. 5 ust. 2 rozporządzenia 2016/679.

Prezes Urzędu Ochrony Danych Osobowych, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. i rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 lit. a-h oraz lit. j tego rozporządzenia, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, mając na względzie okoliczności ustalone w postępowaniu stwierdził, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Uczelnię administracyjnej kary pieniężnej.

Na powyższą decyzję Szkoła Główna Gospodarstwa Wiejskiego w Warszawie wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Prezes Urzędu Ochrony Danych Osobowych w odpowiedzi na skargę wniósł o jej oddalenie.

Wojewódzki Sąd Administracyjny w Warszawie w powołanym wyżej wyroku oddalił skargę Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie uznając, że zaskarżona decyzja została wydana zgodnie z prawem.

Uzasadniając swoje stanowisko Sąd pierwszej instancji wskazał, że podstawowy zarzut skargi sprowadza się do nieuznania przez organ A. G. za administratora danych osobowych i przypisanie naruszeń przepisów rozporządzenia RODO w związku z przetwarzaniem danych kandydatów na studia w SGGW tej Uczelni, a nie A. G. Zdaniem skarżącej Uczelni, A. G., ze względu na przechowywanie danych osobowych w swoim prywatnym komputerze, bez zgody i wiedzy Uczelni stał się faktycznie odrębnym, samodzielnym administratorem tych danych. W ocenie Sądu zarzuty są nieuzasadnione.

Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że z okoliczności sprawy wynika, że dr hab. A. G. w dniu 5 listopada 2019 r., kiedy doszło do kradzieży jego przenośnego prywatnego komputera, nie był podmiotem, który samodzielnie ustalał cele i sposoby przetwarzania danych osobowych kandydatów na studia w SGGW oraz samodzielnie wykonywał czynności przetwarzania, ponieważ był pracownikiem tej Uczelni (adiunktem w Katedrze [...] SGGW i pełnił funkcję sekretarza [...] SGGW). Zajmował się przetwarzaniem danych osobowych jako osoba zaangażowana przez Uczelnię w proces przetwarzania danych osobowych, w ramach rekrutacji kandydatów na studia na tej Uczelni. Był zatem niewątpliwie osobą działającą w warunkach zależności (podporządkowania) pracodawcy (SGGW), wynikającej ze stosunku pracy łączącego go z tą Uczelnią.

Sąd pierwszej instancji wskazał, że należy podkreślić, że z istoty stosunku pracy wynika, że w stosunkach zewnętrznych pracownik nie występuje jako odrębny podmiot prawa (z wyjątkiem, gdy wchodzi w grę jego osobista odpowiedzialność typu karnego czy odpowiedzialność za wykroczenia). Z punktu widzenia prawa jego działania są działaniami pracodawcy i pracodawca ponosi za nie odpowiedzialność, zachowując w stosunku do pracownika regres w postaci możliwości egzekwowania od niego odpowiedzialności odszkodowawczej, porządkowej lub dyscyplinarnej.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie nie zmienia tej sytuacji prawnej działanie naruszające czy wykraczające poza zakres powierzonych mu przez pracodawcę zadań i obowiązków pracowniczych (w tym przypadku polegających na przetwarzaniu danych kandydatów na studia). Wówczas dalej mamy do czynienia z działaniem pracownika (naruszającego swoje obowiązki pracownicze), podlegającym jednak zarachowaniu na rzecz pracodawcy, a nie z samodzielnym działaniem osoby, która wykracza w ten sposób poza swój status pracowniczy.

Sąd pierwszej instancji uznał, że nie ulega zatem wątpliwości, że w rozpatrywanym przypadku administratorem danych osobowych była SGGW, a nie jej pracownik, dr hab. A. G. W konsekwencji, wbrew zapatrywaniu skarżącej Uczelni, nie ponosi on odpowiedzialności administracyjnej za naruszenie przepisów rozporządzenia RODO.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie Prezes Urzędu Ochrony Danych Osobowych prawidłowo stwierdził, że SGGW w związku z przetwarzaniem danych osobowych kandydatów na studia naruszyła art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia 2016/679.

Z obszernego materiału dowodowego bardzo szeroko zaprezentowanego w uzasadnieniu zaskarżonej decyzji wynika zdaniem Sądu, że skarżąca Uczelnia dopuściła się naruszenia tych zasad, starając się przerzucić odpowiedzialność za te naruszenia na swojego pracownika, pomijając swój udział w powstaniu naruszeń, polegający zarówno na niedopełnieniu swoich obowiązków pracodawcy w zakresie kontroli pracy pracownika, jak i niedopełnieniu obowiązków administratora danych osobowych, określonych w rozporządzeniu RODO.

Wojewódzki Sąd Administracyjny w Warszawie podzielił zapatrywanie organu, że Uczelnia jako administrator danych osobowych kandydatów na studia w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania tych danych i w ten sposób naruszyła art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1 oraz art. 5 ust. 2 rozporządzenia 2016/679.

Sąd pierwszej instancji podkreślił, że Uczelnia ograniczyła się do odebrania od dra hab. A. G. oświadczenia o zachowaniu danych osobowych w tajemnicy i o zapoznaniu się z zasadami przetwarzania danych osobowych. Mając świadomość istnienia technicznej możliwości przetwarzania, polegającej na eksportowaniu na zewnętrzny nośnik danych osobowych z systemu SOK, nie kontrolowała jednak w sposób dostateczny procesu przetwarzania przez niego danych osobowych w związku z czynnościami podejmowanymi, nie weryfikowała prawidłowości przetwarzania przez pracownika tych danych. Świadczy o tym to, że nie posiadała wiedzy o możliwości pobierania danych z SOK bez rejestrowania tego procesu w systemie informatycznym oraz o tym, że jej pracownik dr hab. A. G. z SOK importował na swój prywatny komputer zestawy danych osobowych kandydatów na studia z okresu ostatnich 5 lat, a więc przetwarzał je poza przewidziany okres 3 miesięcy, poza zakresem upoważnienia oraz gromadził poza obszarem przetwarzania (upoważnienie nie obejmowało zapisywania i przechowywania danych osobowych na prywatnym komputerze i wynoszeniu ich poza teren SGGW).

Z okoliczności sprawy wynika, że skarżąca Uczelnia nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych czy zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. f i lit. e rozporządzenia), wynikającego z zagrożenia, jakim jest możliwość eksportowania z systemu SOK danych osobowych kandydatów na studia w SGGW na nośnik zewnętrzny. SGGW nie wykazała, zgodnie z zasadą rozliczalności, aby administrator danych osobowych dokonał analizy ryzyka związanego z przetwarzaniem danych osobowych kandydatów na studia w SGGW oraz nadzorował przestrzeganie przez dr hab. A. G. zasad dotyczących przetwarzania danych osobowych, określonych w przepisach prawa powszechnie obowiązującego oraz w Polityce Bezpieczeństwa, Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych. Inspektor danych osobowych nie był angażowany w proces rekrutacji na studia, nie był włączany przez administratora w sprawy dotyczące ochrony danych osobowych w zakresie podejmowanych rozwiązań technicznych w ramach funkcjonowania SOK (art. 38 ust. 1), a wykonując swoje zadania nie uwzględnił ryzyka związanego z operacjami przetwarzania danych, co stanowi o naruszeniu przez Uczelnię, jako administratora danych, art. 24 ust. 1, art. 32 ust. 1, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia 2016/679. Można dodać, że dr hab. A. G., mimo że był zaangażowany w proces przetwarzania danych osobowych na Uczelni podczas rekrutacji kandydatów na studia, nie uczestniczył w szkoleniu dotyczącym ochrony danych osobowych w procesie przetwarzania.

Z tych względów prawnych wyjaśnienia Uczelni, że ze swej strony dokładała starań w zakresie przestrzegania zasad przetwarzania danych osobowych kandydatów na studia nie mogły mieć istotnego znaczenia przy podjęciu decyzji o nałożeniu kary.

Zdaniem Sądu pierwszej instancji Prezes Urzędu Ochrony Danych Osobowych ustalając wysokość kary za nieprawidłowe przetwarzanie danych osobowych uwzględnił okoliczności wymienione w art. 83 ust. 2 rozporządzenia, takie jak: charakter, wagę i czas trwania naruszenia (5 lat), kategorie danych osobowych, których dotyczyło naruszenie; liczbę poszkodowanych osób (100 000), rozmiar poniesionej przez nie szkody; wysoki stopień odpowiedzialności administratora, który w procesie przetwarzania danych nie stosował podstawowych zasad dotyczących przetwarzania danych osobowych, określonych w rozporządzeniu, ale także okoliczności łagodzące, mające wpływ na wymiar kary, takie jak podjęcie przez Uczelnię możliwych działań mających na celu usuniecie naruszenia, dobrą współpracę Uczelni z organem nadzorczym w trakcie postępowania w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; fakt, że Uczelnia nie dopuściła się uprzednio naruszenia przepisów rozporządzenia.

W niniejszej sprawie Wojewódzki Sąd Administracyjny w Warszawie stwierdził, ze zarzuty skargi są nieuzasadnione i dlatego na podstawie art. 151 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 z późn. zm., zwana dalej: "p.p.s.a.") orzekł jak w sentencji.

Skargę kasacyjną od tego wyroku wniosła Szkoła Główna Gospodarstwa Wiejskiego w Warszawie, zaskarżając wyrok w całości i zarzucając mu:

I. naruszenie przez Wojewódzki Sąd Administracyjny w Warszawie przepisów postępowania:

a) tj. art. 1 § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2019 r. poz. 2167 z późn. zm., zwana dalej: "p.u.s.a."), art. 3 § 1 p.p.s.a. w zw. z art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 1, art. 77 § 1 i art. 80 k.p.a. poprzez brak dokonania w I instancji postępowania sądowoadministracyjnego wyczerpujących i własnych ustaleń polegających na zbadaniu stanu faktycznego i jego weryfikacji w oparciu o przesłanki mogące prowadzić do uznania pana dr. hab. A. G. za administratora (w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679) zgromadzonych przez niego danych osobowych na prywatnym komputerze w zakresie w jakim określał on bez wiedzy i zgody SGGW cel i sposób przetwarzania tych danych, a wyłącznie bezkrytyczne przyjęcie i powielenie tezy organu, iż nie może być on traktowany jako administrator, ponieważ był pracownikiem Uczelni, osobą działającą w warunkach zależności (podporządkowania) pracodawcy (SGGW), wynikającej ze stosunku pracy łączącego go z tą Uczelnią;

b) tj. art. 1 § 2 p.u.s.a., art. 3 § 1 p.p.s.a. w zw. z art. 141 § 4 p.p.s.a. - poprzez zaniechanie w uzasadnieniu orzeczenia zamieszczenia oceny i weryfikacji zarzutu skarżącej Uczelni zawartego w pkt 1 skargi (w tym w szczególności dotyczącego braku zgromadzenia przez organ jakiegokolwiek materiału dowodowego w celu oceny pod kątem przesłanek uznania za administratora w rozumieniu art. 4 ust. 7 rozporządzenia 2016/679 pana dr. hab. A. G. wobec bezprawnie przechowywanych przez niego danych osobowych kandydatów na prywatnym komputerze w zakresie, w jakim określał on bez wiedzy i zgody SGGW cel i sposób przetwarzania tych danych),

II. naruszenie przez Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku przepisów prawa materialnego, które dotyczy:

a) "art. 145 § 1 pkt 1 lit. p.p.s.a." w związku z art. 4 ust. 7 rozporządzenia 2016/679 (definicja administratora) poprzez jego niewłaściwe zastosowanie wobec pana dr. hab. A. G. - adiunkta w Katedrze [...] SGGW, pełniącego również funkcję sekretarza [...] SGGW w zakresie, w jakim bez wiedzy i zgody Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie zaimportował on na swój prywatny komputer zestawy danych osobowych kandydatów na studia l i II stopnia oraz jednolitych studiów magisterskich w SGGW w Warszawie z lat 2015-2019 oraz określał on bez wiedzy i zgody SGGW cel i sposób przetwarzania tych danych;

b) "art. 145 § 1 pkt 1 lit. p.p.s.a." w związku z art. 5 ust. 1 lit. e rozporządzenia 2016/679, statuującego zasadę "ograniczonego przechowywania" poprzez błędne przyjęcie, że skarżąca przechowywała dane przez okres dłuższy niż to było niezbędne do celów, w których te dane były przetwarzane, podczas gdy SGGW przeanalizowała i określiła właściwy okres przechowywania danych kandydatów na studia (3 miesiące) - co wynika z treści protokołu kontroli;

c) "art. 145 § 1 pkt 1 lit. p.p.s.a." w związku z art. 5 ust. 1 lit. f, statuującego zasadę "poufności i integralności" poprzez błędne przyjęcie, że skarżąca nie zapewniła odpowiedniego bezpieczeństwa danych, podczas gdy w toku postępowania kontrolnego SGGW wykazała, iż posiadała stosowne i obowiązujące w tym czasie regulacje wewnętrzne wprowadzone zarządzeniem Rektora Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie 88/2013 z 3.12.2013 r. w sprawie Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych, których przestrzeganie zapewniało w wystarczającym stopniu spełnienie wymogu bezpieczeństwa i integralności;

d) "art. 145 § 1 pkt 1 lit. p.p.s.a." w związku z art. 5 ust. 2 poprzez nieuwzględnianie w sposób wystarczający, przy korzystaniu z systemu służącego do przetwarzania danych osobowych kandydatów, zasady rozliczalności poprzez pominięcie dowodów z aktów normatywnych obowiązujących w SGGW i innych dowodów z dokumentów i wyjaśnień złożonych w trakcie kontroli prowadzonej przez Prezesa UODO oraz w trakcie postępowania administracyjnego;

e) "art. 145 § 1 pkt 1 lit. p.p.s.a." w związku z art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2 i art. 38 ust. 1 rozporządzenia 2016/679 poprzez niezasadne przyjęcie, iż Uczelnia w sposób niewystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych kandydatów, podczas gdy z materiału dowodowego sprawy wynika, że działania takie podejmowała, a ponadto działania te nie mogą być oceniane wyłącznie przez ich skutek wynikający z ujawnionego poprzez kradzież prywatnego komputera zachowania dra hab. A. G. naruszającego owe środki techniczne i organizacyjne - co stanowiło podstawę do wszczęcia postępowania wyjaśniającego w sprawie ewentualnego popełnienia przez niego przestępstwa stypizowanego w art. 107 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz postępowania wyjaśniającego prowadzącego do odpowiedzialności dyscyplinarnej nauczyciela akademickiego w SGGW;

f) "art. 145 § 1 pkt 1 lit. p.p.s.a." w związku z art. 39 ust. 1 lit. b i art. 39 ust. 2 poprzez błędne przyjęcie, iż to skarżąca ponosi odpowiedzialność za czynności podejmowane przez Inspektora Ochrony Danych Osobowych, podczas gdy odpowiedzialność ta nie jest określona w przepisach rozporządzenia 2016/679 na zasadzie ryzyka, a na zasadzie winy.

Mając powyższe na uwadze skarżąca kasacyjnie SGGW wniosła o uchylenie zaskarżonego wyroku i rozpoznanie skargi przez NSA (art. 188 p.p.s.a.) poprzez uchylenie decyzji Prezesa Urzędu Ochrony Danych Osobowych z 21 sierpnia 2020 r., względnie w przypadku uznania, iż nie zachodzą przesłanki wskazane w art. 188 p.p.s.a., uchylenie zaskarżonego wyroku i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Jednocześnie wniosła o zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego, a także przeprowadzenie rozprawy w celu rozpoznania skargi kasacyjnej.

Powyższe zarzuty rozwinięto w uzasadnieniu skargi kasacyjnej.

W odpowiedzi na skargę kasacyjną Prezes Urzędu Ochrony Danych Osobowych wniósł o jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2024 r., poz. 935; dalej "p.p.s.a.") Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania, której przesłanki określone w § 2 art. 183 p.p.s.a. w rozpoznawanej sprawie nie występują.

Związanie Naczelnego Sądu Administracyjnego podstawami skargi kasacyjnej wymaga prawidłowego ich określenia w samej skardze. Należy zatem wskazać konkretne przepisy prawa, którym - zdaniem skarżącego - uchybił sąd i zamieścić uzasadnienie podstawy kasacyjnej, czyli uzasadnić uchybienia zarzucane sądowi.

Uzasadnienie podstaw kasacyjnych polega na wykazaniu przez autora skargi kasacyjnej, że stawiane przez niego zarzuty mają usprawiedliwioną podstawę i zasługują na uwzględnienie. Zgodnie z art. 174 p.p.s.a. skargę kasacyjną można oprzeć na następujących podstawach:

1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie;

2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

W rozpoznawanej sprawie zarzuty skargi kasacyjnej obejmują zarówno naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. W tej sytuacji w pierwszej kolejności należy rozpoznać zarzuty powiązane z drugą podstawą kasacyjną (art. 174 pkt 2 p.p.s.a.), gdyż zarzuty naruszenia prawa materialnego należy rozważać w ustalonym, niewątpliwym stanie faktycznym sprawy.

Zgodnie z art. 174 pkt 2 p.p.s.a. naruszenie przepisów postępowania stanowi usprawiedliwioną podstawę kasacyjną jedynie wtedy, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Poprzez "istotny wpływ na wynik sprawy" należy rozumieć związek przyczynowy pomiędzy uchybieniem procesowym a wydanym w sprawie orzeczeniem. Wykazanie wpływu na wynik sprawy sprowadza się do podania stosownej argumentacji uzasadniającej twierdzenie, że gdyby nie doszło do zarzucanego naruszenia, to w sprawie mogłoby zostać wydane inne rozstrzygnięcie, niż kwestionowane skargą kasacyjną.

Najdalej idącym zarzutem skargi kasacyjnej jest zarzut naruszenia art. 1 § 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (t.j. Dz.U. z 2024 r., poz. 1267; dalej: "p.u.s.a."), art. 3 § 1 p.p.s.a. w związku z art. 141 § 4 p.p.s.a. Zgodnie z art. 1 § 2 p.u.s.a. kontrola, o której mowa w § 1 tego przepisu, sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Z kolei art. 3 § 1 p.p.s.a. stanowi, że sądy administracyjne sprawują kontrolę działalności administracji publicznej i stosują środki określone w ustawie. Naruszenie powyższych przepisów zostało powiązane z naruszeniem art. 141 § 4 p.p.s.a. Należy podnieść, że zarzut naruszenia art. 141 § 4 p.p.s.a. może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania. Naruszenie to musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za jego pomocą nie można skutecznie zwalczać prawidłowości przyjętego przez sąd stanu faktycznego, czy kwestionować stanowiska sądu co do wykładni bądź zastosowania prawa materialnego. Przepis art. 141 § 4 p.p.s.a. jest przepisem proceduralnym, regulującym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi z powyższej normy prawnej. Wadliwość uzasadnienia orzeczenia może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a. w sytuacji, gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku.

Opisane wyżej sytuacje nie miały miejsca w niniejszej sprawie. Uzasadnienie zaskarżonego wyroku pozwala na poznanie motywów rozstrzygnięcia oraz dokonanie kontroli instancyjnej zaskarżonego wyroku. Sąd pierwszej instancji uznał, że organ w sposób prawidłowy dokonał ustaleń stanu faktycznego sprawy, a fakt, iż skarżący kasacyjnie nie godzi się z taką oceną nie przesądza o zasadności zarzutu naruszenia art. 141 § 4 p.p.s.a. Należy podnieść, że w postępowaniu administracyjnym zostały ustalone wszystkie okoliczności relewantne z punktu widzenia rozstrzygnięcia. Sąd administracyjny nie ma natomiast obowiązku szczegółowego odniesienia się do wszystkich zarzutów skargi. Uzasadnienie wyroku powinno być tak sporządzone, aby wynikało z niego, dlaczego sąd uznał zaskarżone orzeczenie za zgodne lub niezgodne z prawem, dlaczego nie stwierdził czy stwierdził w rozpatrywanej sprawie naruszenia przez organy administracji przepisów prawa materialnego, czy też przepisów procedury w stopniu, który mógłby mieć wpływ na treść rozstrzygnięcia. Powyższe wymogi zostały zrealizowane, stąd omawiany zarzut skargi kasacyjnej nie jest zasadny. W szczególności Sąd pierwszej instancji odniósł się do kwestii ustalenia podmiotu, który w niniejszej sprawie jest administratorem danych (rozważania na s. 17 i 18 uzasadnienia zaskarżonego wyroku). Kontrola sprawowana przez Sąd pierwszej instancji nie wykroczyła poza ustawowe kryterium zgodności z prawem. Fakt, iż skarżąca kasacyjnie nie podziela stanowiska Sądu pierwszej instancji w kwestii ustalenia podmiotu będącego administratorem danych nie może przesądzać o zasadności omawianego zarzutu skargi kasacyjnej.

Nie jest zasadny również zarzut naruszenia art. 1 § 2 p.u.s.a., art. 3 § 1 p.p.s.a. w związku z art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 7, art. 77 § 1 i art. 80 k.p.a. Przede wszystkim należy podnieść, że co do zasady sąd administracyjny orzeka na podstawie materiału faktycznego i dowodowego sprawy zgromadzonego w postępowaniu przed organami administracji. W postępowaniu przed sądem administracyjnym postępowanie dowodowe może być prowadzone tylko jako postępowanie uzupełniające, ograniczone do dowodów z dokumentów (art. 106 § 3 p.p.s.a.). Przeprowadzenie dowodu uzupełniającego z dokumentów jest możliwe, jeżeli kumulatywnie spełnione są dwa warunki: jest to niezbędne do wyjaśnienia istotnych wątpliwości i nie spowoduje nadmiernego przedłużenia postępowania w sprawie. Zakres postępowania dowodowego w postępowaniu sądowoadministracyjnym jest determinowany podstawową funkcją tego postępowania, tj. oceną z punktu widzenia zgodności z prawem procesu konkretyzacji norm prawa administracyjnego materialnego w określonym stanie faktycznym. Postępowanie dowodowe przed sądem administracyjnym i w konsekwencji dokonywanie przez ten sąd ustaleń faktycznych jest dopuszczalne w zakresie uzasadnionym celami postępowania administracyjnego i powinno umożliwiać sądowi dokonywanie ustaleń, które będą stanowiły podstawę oceny zgodności z prawem zaskarżonej decyzji (por. K. Sobieralski, Z problematyki postępowania rozpoznawczego przed sądem administracyjnym, ST 2002/7–8, s. 51). Oznacza to, że sąd administracyjny nie może dokonywać ustaleń, które mogłyby służyć merytorycznemu rozstrzyganiu sprawy załatwionej w postępowaniu administracyjnym (por. A. Hanusz, Dowód z dokumentu w postępowaniu przed sądami administracyjnymi, PiP 2009/2, s. 44; K. Radzikowski, Orzekanie przez sąd administracyjny na podstawie akt sprawy, ZNSA 2009/2, s. 55). Nie jest zatem zasadny zarzut opierający się na "braku dokonania w I instancji postępowania sądowoadministracyjnego wyczerpujących i własnych ustaleń polegających na zbadaniu stanu faktycznego i jego weryfikacji", co miałoby w ocenie skarżącego kasacyjnie prowadzić do uznania dra hab. A. G. za administratora danych w rozumieniu art. 4 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); Dz.U.UE.L.2016.119.1; dalej: "rozporządzenie 2016/697" lub "RODO").

Jeśli z kolei uznać, że omawiany zarzut jest nakierowany na kwestionowanie błędnego przyjęcia przez Sąd pierwszej instancji, iż stan faktyczny sprawy został ustalony przez organ w postępowaniu wyjaśniającym w sposób prawidłowy, to również nie jest on zasadny. Trzeba wskazać, że nie jest kwestionowana okoliczność, na którą powołuje się skarżąca kasacyjnie, iż dr hab. A. G. bez wiedzy i zgody skarżącej kasacyjnie importował na swój prywatny komputer i przechowywał na nim zestawy danych osobowych kandydatów na studia I i II stopnia oraz jednolitych studiów magisterskich, poza zakresem nadanego mu upoważnienia do przetwarzania danych osobowych. Kwestią zasadniczą jednak było to, czy skarżąca kasacyjnie w sposób wystarczający dokonywała oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych. W tym zakresie zostały poczynione ustalenia, których skarżąca kasacyjnie skutecznie nie zakwestionowała, iż od dra hab. A. G. zostało odebrane oświadczenie o zachowaniu danych osobowych w tajemnicy i o zapoznaniu się z zasadami przetwarzania danych osobowych. Zasadnicze znaczenie ma okoliczność, że istniała techniczna możliwość przetwarzania polegająca na eksportowaniu danych osobowych z systemu SOK na zewnętrzny nośnik, a strona skarżąca nie kontrolowała w dostateczny sposób procesu przetwarzania przez pracownika tych danych, gdyż nie posiadała wiedzy o możliwości pobierania danych z SOK bez rejestrowania tego procesu w systemie informatycznym oraz o fakcie importowania danych przez dra hab. A. G. Powyższe ustalenia – które nie zostały skutecznie zakwestionowane w skardze kasacyjnej - doprowadziły do trafnego wniosku, iż skarżąca kasacyjnie nie dokonała oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych oraz zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. f i e rozporządzenia 2016/697). Okoliczności, na które powołuje się w uzasadnieniu omawianego zarzutu skarżąca kasacyjnie, nie mają znaczenia z punktu widzenia podstawy prawnej rozstrzygnięcia, dotyczą bowiem okoliczności zaistniałych w późniejszym okresie, a ich wystąpienie nie zmienia oceny prawnej w odniesieniu do ustalonego stanu faktycznego sprawy.

Przechodząc do oceny zarzutów naruszenia prawa materialnego należy wskazać, że zgodnie z art. 4 pkt 7 RODO "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Niewątpliwie dr hab. A. G. nie jest osobą ustalającą cele i sposoby przetwarzania danych osobowych. Administrator jest podmiotem, który określa, dlaczego odbywa się przetwarzanie (tj. "w jakim celu", "po co") i jak ten cel zostanie osiągnięty (tj. jakie środki zostaną zastosowane, aby osiągnąć ten cel). Dla administratora zostały zastrzeżone takie decyzje, jak: wybór danych, jakie będą przetwarzane, czas trwania przetwarzania, kategorie odbiorców danych, ustalenie, czyje dane osobowe będą przetwarzane. Pracownik strony skarżącej kasacyjnie nie miał uprawnienia do podejmowania decyzji w wyżej wskazanych zakresie, nie można zatem uznać go za administratora danych. Dr hab. A. G. nie posiadał podstaw do przetwarzania danych osobowych, lecz uzyskał do nich dostęp w zakresie udzielonym przez administratora, którym jest strona skarżąca kasacyjnie. Trzeba też zaznaczyć, że nawet jeśli podmiot będący administratorem wyznacza konkretną osobę fizyczną, która odpowiada za zapewnienie zgodności z RODO, a nawet decyduje o celach przetwarzania danych osobowych pod jego kontrolą, nie prowadzi to do uzyskania przez tę osobę przymiotu administratora danych – w dalszym ciągu jest nim pierwotny administrator, w imieniu którego działa wyznaczona osoba fizyczna.

Trzeba też wskazać, że art. 32 RODO nakłada na administratora i podmiot przetwarzający obowiązek zabezpieczenia przetwarzanych danych. Zgodnie z art. 32 ust. 4 RODO administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Odpowiednie zabezpieczenia powinny zostać wdrożone zarówno w przypadku przetwarzania danych w sposób zautomatyzowany (z wykorzystaniem systemów informatycznych), jak i w odniesieniu do przetwarzania danych w sposób niezautomatyzowany ("ręcznie", w zbiorach danych). Przedmiotem zabezpieczenia są dane osobowe, natomiast faktycznie zastosowane zabezpieczenia mogą odnosić się nie tylko do samych danych, ale także do systemów informatycznych, za pomocą których dane są przetwarzane, jak również nośników, na których dane są zapisane (por. P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, opublikowano: WKP 2022, teza 8). Trafne jest stanowisko organu, iż administrator musi mieć pełną kontrolę nad procesem przetwarzania danych, tak aby zapobiec powstawaniu zdarzeń narażających dane na udostępnienie osobom nieupoważnionym oraz wiedzę na temat całości procesu przetwarzania. Administrator odpowiada zatem za czyny swoich pracowników w zakresie naruszeń w procesie przetwarzania danych osobowych (por. wyrok NSA z 4 kwietnia 2003 r., sygn. akt II SA 2935/02).

Zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Powyższy przepis w powiązaniu z art. 32 ust. 4 RODO nakłada na administratora obowiązek sprawowania kontroli nad tym kto i w jakim zakresie ma dostęp do danych osobowych oraz na jakich zasadach i w jaki sposób je przetwarza. Podejmowane przez administratora środki powinny służyć w szczególności zapobieganiu nieuprawnionemu wyprowadzaniu danych osobowych i nieuzasadnionej ingerencji w te dane. Zastosowane przez stronę skarżącą kasacyjnie środki były niewystarczające, skoro pracownik był w stanie pobierać dane z SOK bez rejestrowania tego procesu w systemie informatycznym oraz o importować dane, o czym skarżąca kasacyjnie nie uzyskiwała wiedzy z systemu.

Trafne jest stanowisko Sądu pierwszej instancji, że strona skarżąca kasacyjnie nie dokonała w sposób prawidłowy oceny ryzyka w zakresie możliwości naruszenia zasady poufności danych osobowych oraz zasady ograniczenia przechowywania danych (art. 5 ust. 1 lit. e i f RODO). Zgodnie z powyższymi regulacjami: "Dane osobowe muszą być:

e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą ("ograniczenie przechowywania");

f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność")".

Naruszenie powyższych zasad nastąpiło z przyczyn wyżej opisanych, to jest z powodu naruszenia art. 32 ust. 4 RODO. Fakt, iż wprowadzono regulacje wewnętrzne dotyczące okresu przechowywania danych kandydatów oraz w zakresie bezpieczeństwa danych nie zmienia faktu, iż w tej konkretnej sytuacji strona skarżąca kasacyjnie nie wdrożyła systemowych rozwiązań, które mogłyby zapobiec nieuprawnionemu wyprowadzaniu danych osobowych kandydatów na studia i nieuzasadnionej ingerencji w te dane. Z tych samych przyczyn nie jest zasadny zarzut naruszenia art. 5 ust. 2 RODO, który stanowi, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Wbrew stanowisku skarżącej kasacyjnie nie wykazała ona w postępowaniu administracyjnym realizacji zasady rozliczalności. Sam fakt obowiązywania wewnętrznych regulacji w zakresie ochrony danych osobowych nie stanowi sam w sobie okoliczności egzoneracyjnej. Raz jeszcze trzeba podkreślić, że w niniejszej sprawie zasadnicze znaczenie miała okoliczność braku możliwości sprawowania realnej kontroli nad procesem przetwarzania danych przez podmiot korzystający z systemu SOK, z uwagi na to, że system umożliwiał pobieranie danych bez rejestrowania tej operacji. Nie jest również zasadny zarzut, że ocena stanu faktycznego została dokonana wyłącznie przez "skutek wynikający z ujawnionego poprzez kradzież prywatnego komputera zachowania dr hab. A. G. naruszającego owe środki techniczne i organizacyjne". Skarżąca kasacyjnie zdaje się nie dostrzegać związku pomiędzy sposobem działania systemu SOK, za który przecież odpowiada, a skutkiem w postaci naruszeń w procesie przetwarzania danych osobowych.

Z powyższych przyczyn nie jest zasadny również zarzut naruszenia art. 39 ust. 1 lit. b oraz art. 39 ust. 2 RODO. Zgodnie z art. 39 ust. 1 lit. b na inspektorze ochrony danych spoczywa zadanie w postaci monitorowania przestrzegania rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Zgodnie z art. 39 ust. 2 RODO inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

Jedną z grup zadań inspektora ochrony danych stanowią zadania monitorujące i nadzorcze, o których mowa w art. 39 ust. 1 lit. b RODO. Określenie "monitorowanie" rozumieć można jako prowadzenie stałej obserwacji i kontroli zgodności procesów przetwarzania danych z przepisami o ochronie danych. Wbrew stanowisku skarżącej kasacyjnie naruszenie powyższego przepisu może pociągnąć za sobą odpowiedzialność w postaci nałożenia przez organ nadzorczy na administratora lub podmiot przetwarzający administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 RODO.

Ponieważ podstawy skargi kasacyjnej okazały się nieusprawiedliwione, Naczelny Sąd Administracyjny, na podstawie art. 184 p.p.s.a., skargę kasacyjną oddalił.

O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 p.p.s.a.