{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-16 02:00\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b III OSK 2100/22 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2025-06-18
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2022-08-26
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Naczelny S\u261?d Administracyjny
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Pawe\u322? Mierzejewski
\par Rafa\u322? Stasikowski /sprawozdawca/
\par Zbigniew \u346?lusarczyk /przewodnicz\u261?cy/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 II SA/Wa 3515/21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Uchylono zaskar\u380?ony wyrok i zaskar\u380?on\u261? decyzj\u281?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U.UE.L 2016 nr 119 poz 1; art. 5 ust. 1 i 2, art. 28 ust. 3, art. 33 ust. 1, art. 57 ust. 1, art. 77 ust. 1, art. 83 ust. 2; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\par Dz.U. 2024 nr 0 poz 935;  art. 188, 145 par 1 pkt 1 lit a i c, 203 pkt 1, 295 pkt 2; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (t. j.)
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tezy\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 1. W sytuacji wszcz\u281?cia z urz\u281?du post\u281?powania przez Prezesa UODO w przedcmoicie naruszenia obowi\u261?zk\u243?w administratora danych okre\u347?lonych w art. 5 ust. 1 oraz skorzystania przez osoby fizyczne ze \u347?rodka prawnego, o kt\u243?rym mowa w art. 77 ust. 1 RODO powinno by\u263? prowadzone jedno post\u281?powanie przed Prezesem UODO, w ramach kt\u243?rego zostanie wymierzona jedna skuteczna, proporcjonalna i odstraszaj\u261?ca kara administracyjna, bowiem mamy do czynienia z jedn\u261? spraw\u261? w uj\u281?ciu matarialnym, kt\u243?rej element przedmiotowy w postaci zdarzenia naruszaj\u261?cego dane osobowe, jest wsp\u243?lny i ten sam;
\par 
\par 2. W sytuacji, gdy administrator podlegaj\u261?cy prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego i jego jurysdykcji zawiera umow\u281? o powierzanie przetwarzania danych osobowych z podmiotem, kt\u243?ry nie podlega prawu UE lub pa\u324?stwa cz\u322?onkowskiego lub z podmiotem, kt\u243?ry nie podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE, w\u243?wczas odpowiedzialno\u347?\u263? za przetwarzanie danych osobowych ponosi dalej administrator. Tylko w ten spos\u243?b mo\u380?liwe jest zapewnienie ochrony praw podmiotowych os\u243?b podlegaj\u261?cych przepisom RODO i skuteczno\u347?ci tych przepis\u243?w.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Naczelny S\u261?d Administracyjny w sk\u322?adzie: Przewodnicz\u261?cy: s\u281?dzia NSA Zbigniew \u346?lusarczyk S\u281?dziowie s\u281?dzia NSA Rafa\u322? Stasikowski (spr.) s\u281?dzia del. WSA Pawe\u322? Mierzejewski Protokolant starszy asystent s\u281?dziego Agnieszka Kozik po rozpoznaniu w dniu 18 czerwca 2025 r. na rozprawie w Izbie Og\u243?lnoadministracyjnej skargi kasacyjnej [...] w likwidacji z siedzib\u261? w W. od wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z dnia 20 kwietnia 2022 r. sygn. akt II SA/Wa 3515/21 w sprawie ze skargi [...] w likwidacji z siedzib\u261? w W. na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia 15 marca 2021 r. nr DS.523.1852.2020.FT.MI.116068.116069 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskar\u380?ony wyrok oraz zaskar\u380?on\u261? decyzj\u281?; 2. zas\u261?dza od Prezesa Urz\u281?du Ochrony Danych Osobowych na rzecz [...] z o.o. w likwidacji z siedzib\u261? w W. kwot\u281? 1.257 (jeden tysi\u261?c dwie\u347?cie pi\u281?\u263?dziesi\u261?t siedem) z\u322?otych tytu\u322?em zwrotu koszt\u243?w post\u281?powania.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wyrokiem z 20 kwietnia 2022 r., II SA/Wa 3515/21, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie oddali\u322? skarg\u281? [...] w likwidacji
\par 
\par z siedzib\u261? w W. na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z 15 marca 2021 r., nr DS.523.1852.2020.FT.MI.116068,116069, w przedmiocie przetwarzania danych osobowych.
\par 
\par Wyrok zapad\u322? w nast\u281?puj\u261?cych okoliczno\u347?ciach faktycznych i prawnych.
\par 
\par W pi\u347?mie z 23 marca 2020 r. M. T. wni\u243?s\u322? do Prezesa UODO skarg\u281? na niezgodne z prawem przetwarzanie jego danych osobowych przez [...] z siedzib\u261? w W. \u8211? administratora serwisu internetowego [...]. Skar\u380?\u261?cy poda\u322?, \u380?e sp\u243?\u322?ka poinformowa\u322?a go, \u380?e jego dane osobowe zosta\u322?y ujawnione osobie trzeciej. W zwi\u261?zku z tym zmuszony by\u322?, w celu zminimalizowania ryzyka kradzie\u380?y to\u380?samo\u347?ci, zastrzec dow\u243?d osobisty i wyrobi\u263? nowy oraz wykupi\u263? alerty powiadomie\u324? o u\u380?yciu jego numeru PESEL. Z tego powodu poni\u243?s\u322? straty maj\u261?tkowe i niemaj\u261?tkowe.
\par 
\par W pismach z 14 lipca 2020 r., z 28 pa\u378?dziernika 2020 r. i z 18 stycznia 2021 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporz\u261?dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych; dalej "RODO"), zwr\u243?ci\u322? si\u281? do [...] o z\u322?o\u380?enie wyja\u347?nie\u324? i dostarczenie informacji w sprawie skargi M. T. na nieprawid\u322?owo\u347?ci w procesie przetwarzania jego danych osobowych.
\par 
\par W pismach z 30 lipca 2020 r., 9 listopada 2020 r. i z 22 stycznia 2021 r. sp\u243?\u322?ka wyja\u347?ni\u322?a, \u380?e dane osobowe M. T. przetwarza od 1 sierpnia 2018 r., tj. od dnia, w kt\u243?rym skar\u380?\u261?cy dokona\u322? rejestracji na stronie internetowej www.[...] oraz zawar\u322? ze sp\u243?\u322?k\u261? ramow\u261? umow\u281? po\u380?yczki. Wskaza\u322?a, \u380?e przetwarza\u322?a jego dane (imi\u281?, nazwisko, seri\u281? i nr dowodu osobistego, nr PESEL, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres zameldowania, adres korespondencyjny, adres zameldowania, adres e-mail skar\u380?\u261?cego, numer telefonu kom\u243?rkowego, numer telefonu pracodawcy, nazw\u281? pracodawcy, zatrudnienie (rodzaj umowy), przych\u243?d miesi\u281?czny netto, \u378?r\u243?d\u322?a przychodu, ilo\u347?\u263? os\u243?b pozostaj\u261?cych na utrzymaniu, stan cywilny, wykszta\u322?cenie, has\u322?o do profilu klienta), na podstawie art. 6 ust. 1 lit. a, b, c, f RODO. Sp\u243?\u322?ka poda\u322?a, \u380?e faktycznie nie prowadzi dzia\u322?alno\u347?ci gospodarczej, "ca\u322?kowicie" usun\u281?\u322?a profil skar\u380?\u261?cego jako klienta [...] i obecnie przetwarza jego dane osobowe wy\u322?\u261?cznie w celach rachunkowych i podatkowych, a tak\u380?e
\par 
\par w zakresie niezb\u281?dnym do realizacji obowi\u261?zk\u243?w prawnych lub obrony roszcze\u324?, na podstawie art. 6 ust. 1 lit. c i f RODO. Sp\u243?\u322?ka doda\u322?a, \u380?e podmiotem, kt\u243?ry pope\u322?ni\u322? b\u322?\u261?d skutkuj\u261?cy naruszeniem ochrony danych osobowych, jest [...] w M. na B., z kt\u243?r\u261? 2 marca 2018 r. zawar\u322?a umow\u281? powierzenia przetwarzania danych osobowych. Incydent naruszenia ochrony danych osobowych by\u322? przedmiotem post\u281?powania tocz\u261?cego si\u281? przed Prezesem UODO wszcz\u281?tego z urz\u281?du (sygn. DKN.5130.1354.2020.MM) zako\u324?czonego decyzj\u261? z 17 grudnia 2020 r. W zakresie okoliczno\u347?ci dotycz\u261?cych naruszenia obj\u281?tego skarg\u261? M. T. sp\u243?\u322?ka odwo\u322?a\u322?a si\u281? do ustale\u324? poczynionych w tym post\u281?powaniu.
\par 
\par Sp\u243?\u322?ka wyja\u347?ni\u322?a r\u243?wnie\u380?, \u380?e poinformowa\u322?a skar\u380?\u261?cego o nieprawid\u322?owo\u347?ciach b\u281?d\u261?cych przedmiotem skargi, wys\u322?anymi 14 i 15 marca 2020 r. wiadomo\u347?ciami SMS i e-mail o zresetowaniu i zmianie has\u322?a do [...], a tak\u380?e wys\u322?an\u261? 16 marca 2020 r. wiadomo\u347?ci\u261? e-mail, w kt\u243?rej m. in. wymieni\u322?a dane osobowe obj\u281?tych nieuprawnionym udost\u281?pnieniem, zawar\u322?a odpis przewidywanych konsekwencji i zagro\u380?e\u324? zwi\u261?zanych z ujawnieniem danych osobowych oraz \u347?rodk\u243?w proponowanych w celu minimalizacji negatywnych skutk\u243?w zwi\u261?zanych z naruszeniem; opis krok\u243?w podj\u281?tych w celu zaradzenia naruszeniu danych osobowych; informacj\u281? o mo\u380?liwo\u347?ci uzyskania dalszych informacji oraz informacj\u281? o zg\u322?oszeniu naruszenia danych osobowych Prezesowi UODO. Sp\u243?\u322?ka poda\u322?a ponadto, \u380?e 18 marca 2020 r. zamie\u347?ci\u322?a na swojej stronie internetowej dwa o\u347?wiadczenia na temat bezpiecze\u324?stwa danych osobowych.
\par 
\par W pierwszym z nich zawar\u322?a informacje o przeprowadzonej 14 marca 2020 r. automatycznej zmianie hase\u322? z uwagi na podejrzenie mo\u380?liwo\u347?ci nieuprawnionego dost\u281?pu do cz\u281?\u347?ci bazy danych. W drugim o\u347?wiadczeniu poinformowa\u322?a, \u380?e na skutek b\u322?\u281?du podmiotu trzeciego wsp\u243?\u322?pracuj\u261?cego ze sp\u243?\u322?k\u261?, osoba trzecia uzyska\u322?a nieuprawniony dost\u281?p do danych osobowych cz\u281?\u347?ci u\u380?ytkownik\u243?w portalu [...], oraz \u380?e podj\u281?\u322?a natychmiastowe dzia\u322?ania celem zabezpieczenia danych, zidentyfikowa\u322?a przyczyn\u281? incydentu oraz j\u261? niezw\u322?ocznie usun\u281?\u322?a.
\par 
\par Decyzj\u261? z 15 marca 2021 r. (nr DS.523.1852.2020.FT.MI.116068,116069), wydan\u261? na podstawie art. 104 \u167? 1 k.p.a. w zw. z art. 7 ust. 1 ustawy z 10 maja 2018 r. o ochronie danych osobowych oraz na podstawie art. 6 ust. 1 lit. c oraz art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f i art. 58 ust. 2 lit. b RODO, Prezes UODO udzieli\u322? [...] w likwidacji z siedzib\u261? w W. upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegaj\u261?ce na udost\u281?pnieniu danych osobowych M. T. podmiotom nieuprawnionym.
\par 
\par W uzasadnieniu wskaza\u322?, \u380?e [...] w likwidacji w z\u322?o\u380?onych wyja\u347?nieniach przyzna\u322?a, \u380?e w wyniku b\u322?\u281?du pracownika [...], z kt\u243?rym sp\u243?\u322?ka zawar\u322?a umow\u281? powierzenia przetwarzania danych osobowych, polegaj\u261?cego na braku zabezpieczenia w dniach 3-14 marca 2020 r. danych osobowych M. T., dosz\u322?o do udost\u281?pnienia jego danych osobowych osobie nieuprawnionej w zakresie: imienia, nazwiska, numeru PESEL, serii i numeru dokumentu to\u380?samo\u347?ci, NIP, obywatelstwa, miejsca urodzenia, numeru rachunku bankowego, adresu korespondencyjnego, adresu zameldowania, adresu e-mail, numeru telefonu stacjonarnego, numeru telefonu kom\u243?rkowego, poprzedniego numer telefonu kom\u243?rkowego (je\u347?li uleg\u322? zmianie), numeru telefonu pracodawcy, adresu e-mail osoby, kt\u243?rej klient rekomendowa\u322? po\u380?yczk\u281? (je\u347?li rekomendowa\u322?), nazwy pracodawcy, zatrudnienia (rodzaju umowy), przychodu miesi\u281?cznego netto, \u378?r\u243?d\u322?a przychodu, ilo\u347?ci os\u243?b pozostaj\u261?cych na utrzymaniu, stanu cywilnego, wykszta\u322?cenia, has\u322?a do profilu klienta na [...]. W zakresie powy\u380?szego udost\u281?pnienia nie zosta\u322?a spe\u322?niona \u380?adna z przes\u322?anek legalizuj\u261?cych proces przetwarzania danych osobowych okre\u347?lonych w art. 6 ust. 1 RODO.
\par 
\par Prezes UODO podkre\u347?li\u322?, \u380?e w post\u281?powaniu zainicjowanym indywidualn\u261? skarg\u261? mo\u380?e dokona\u263? wy\u322?\u261?cznie oceny legalno\u347?ci przetwarzania danych i w przypadku stwierdzenia nieprawid\u322?owo\u347?ci w procesie przetwarzania danych - w celu przywr\u243?cenia stanu zgodnego z prawem - zastosowa\u263? uprawnienia naprawcze, o kt\u243?rych mowa w art. 58 ust. 2 RODO, w tym udzieli\u263? upomnienia administratorowi lub podmiotowi przetwarzaj\u261?cemu w przypadku naruszenia przepis\u243?w rozporz\u261?dzenia przez operacje przetwarzania (lit. b). Organ wskaza\u322? ponadto, \u380?e stosowane przez administratora danych w procesach ich przetwarzania praktyki, w tym sposoby zabezpiecze\u324?, ich adekwatno\u347?\u263? oraz skuteczno\u347?\u263? mog\u261? by\u263? natomiast przedmiotem post\u281?powania wszcz\u281?tego z urz\u281?du.
\par 
\par Prezes UODO stwierdzi\u322?, \u380?e przetwarzanie danych osobowych skar\u380?\u261?cego, polegaj\u261?ce na ich udost\u281?pnieniu w dniach 3-14 marca 2020 r. na rzecz nieznanej i nieuprawnionej osoby, stanowi\u322?o naruszenie przepis\u243?w o ochronie danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, co uzasadnia zastosowanie wobec [...]
\par 
\par w likwidacji upomnienia, o kt\u243?rym mowa w art. 58 ust. 2 lit. b RODO. W pozosta\u322?ym zakresie, wobec legitymowania si\u281? przez [...] przes\u322?ank\u261? okre\u347?lon\u261? w art. 6 ust. 1 lit. c RODO, stanowi\u261?c\u261? o legalno\u347?ci przetwarzania przez sp\u243?\u322?k\u281? danych osobowych M. T., organ odm\u243?wi\u322? uwzgl\u281?dniania wniosku skar\u380?\u261?cego.
\par 
\par Skarg\u281? na powy\u380?sz\u261? decyzj\u281? do Wojew\u243?dzkiego S\u261?du Administracyjnego
\par 
\par w Warszawie wnios\u322?a skar\u380?\u261?ca sp\u243?\u322?ka.
\par 
\par W odpowiedzi na skarg\u281? Prezes UODO wni\u243?s\u322? o jej oddalenie.
\par 
\par Oddalaj\u261?c skarg\u281?, s\u261?d I instancji stwierdzi\u322?, \u380?e z akt sprawy wynika, i\u380? dane osobowe M. T., kt\u243?rych administratorem jest skar\u380?\u261?ca sp\u243?\u322?ka, zosta\u322?y udost\u281?pnione nieznanej osobie trzeciej na skutek b\u322?\u281?du pracownika podmiotu przetwarzaj\u261?cego ([...] w M. na B.), z kt\u243?r\u261? skar\u380?\u261?ca zawar\u322?a umow\u281? powierzenia przetwarzania danych osobowych. B\u322?\u261?d ten polega\u322? na niezabezpieczeniu danych w okresie od 3 do 14 marca 2020 r. Zakres danych osobowych obj\u281?tych nieuprawnionym dost\u281?pem obj\u261?\u322?: imi\u281?, nazwisko, PESEL, seri\u281? i numer dokumentu to\u380?samo\u347?ci, NIP, obywatelstwo, miejsce urodzenia, numer rachunku bankowego, adres korespondencyjny, adres zameldowania, adres e-mail, numer telefonu stacjonarnego, numer telefonu kom\u243?rkowego, poprzedni numer telefonu kom\u243?rkowego (je\u347?li uleg\u322? zmianie), numer telefonu pracodawcy, adres e-mail osoby, kt\u243?rej klient rekomendowa\u322? po\u380?yczk\u281? (je\u347?li rekomendowa\u322?), nazw\u281? pracodawcy, zatrudnienie (rodzaj umowy), przych\u243?d miesi\u281?czny netto, \u378?r\u243?d\u322?o przychodu, ilo\u347?\u263? os\u243?b pozostaj\u261?cych na utrzymaniu, stan cywilny, wykszta\u322?cenie, has\u322?o do profilu klienta na [...]. Sp\u243?\u322?ka zg\u322?osi\u322?a to naruszenie ochrony danych osobowych stosownie do art. 33 ust. 1 rozporz\u261?dzenia RODO. W dniu 17 grudnia 2020 r. Prezes Urz\u281?du Ochrony Danych Osobowych wyda\u322? decyzj\u281? (nr DKN.5130.1354.2020.104813), kt\u243?r\u261? m. in. stwierdzi\u322? naruszenie przez skar\u380?\u261?c\u261? sp\u243?\u322?k\u281? przepis\u243?w art. 5 ust. 1 lit f), art. 25 ust. 1m art. 32 ust. 1 lit b), art. 32 ust. 1 lit d) oraz art. 32 ust. 2 RODO, polegaj\u261?ce na niewdro\u380?eniu przez sp\u243?\u322?k\u281?, zar\u243?wno w fazie projektowania procesu przetwarzania, jak i w czasie samego przetwarzania, odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych odpowiadaj\u261?cych ryzyku naruszenia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci systemu przetwarzania danych osobowych, a tak\u380?e zapewniaj\u261?cych zdolno\u347?\u263? do skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniaj\u261?cych regularn\u261? ocen\u281? skuteczno\u347?ci tych \u347?rodk\u243?w.
\par 
\par Zdaniem s\u261?du I instancji Prezes UODO prawid\u322?owo stwierdzi\u322?, \u380?e ujawnienie danych osobowych konkretnej osoby fizycznej podmiotowi trzeciemu jest udostepnieniem danych w rozumieniu rozporz\u261?dzenia (art. 4 pkt 2). Ujawnienie danych osobowych nie musi by\u263? bowiem wynikiem zaplanowanej operacji i nie musi by\u263? r\u243?wnoznaczne z dzia\u322?aniem (aktywno\u347?ci\u261?) takim jak przes\u322?anie, czy rozpowszechnienie (aktywne dzielenie si\u281? danymi). Mo\u380?e ono polega\u263? tak\u380?e na innego rodzaju udost\u281?pnieniu poprzez umo\u380?liwienie dost\u281?pu do danych. Zdaniem s\u261?du taka sytuacja wyst\u261?pi\u322?a niew\u261?tpliwie w rozpatrywanej sprawie, skoro skar\u380?\u261?ca przyzna\u322?a, \u380?e dane osobowe M. T. zapisane na jego koncie u\u380?ytkownika zosta\u322?y ujawnione osobie trzeciej na skutek b\u322?\u281?du pracownika podmiotu, kt\u243?remu powierzono przetwarzanie danych osobowych, polegaj\u261?cego na braku zabezpieczenia tych danych. Chybione jest zatem stanowisko sp\u243?\u322?ki, kt\u243?ra zmierza do wykazania, \u380?e ujawnienie danych osobowych M. T., o kt\u243?rym mowa w zaskar\u380?onej decyzji, nie stanowi ich udost\u281?pnienia, lecz naruszenie ochrony danych osobowych (art. 4 pkt 12 RODO) b\u281?d\u261?ce wynikiem "cyberataku".
\par 
\par S\u261?d podzieli\u322? zapatrywanie Prezesa UODO, \u380?e udost\u281?pnienie danych osobowych skar\u380?\u261?cego, polegaj\u261?ce na ich ujawnieniu nieznanemu, nieuprawnionemu odbiorcy, nie znajdowa\u322?o oparcia w \u380?adnej z wymienionych w art. 6 ust. 1 RODO podstaw legalizuj\u261?cych proces przetwarzania danych osobowych. Zdaniem s\u261?du I instancji w sprawie zaistnia\u322?y przes\u322?anki do skorzystania przez Prezesa UODO z uprawnienia naprawczego przewidzianego w art. 58 ust. 2 lit. b RODO. S\u261?d dostrzeg\u322?, \u380?e w podstawie prawnej zaskar\u380?onej decyzji organ w spos\u243?b nieuzasadniony powo\u322?a\u322? si\u281? na art. 5 ust. 1 lit. f RODO. Kwestie dotycz\u261?ce zastosowania odpowiednich \u347?rodk\u243?w technicznych lub organizacyjnych w celu zapewnienia bezpiecze\u324?stwa danych osobowych nie by\u322?y bowiem obj\u281?te zakresem post\u281?powania zako\u324?czonego zaskar\u380?on\u261? decyzj\u261?, a sprawa niniejsza nie dotyczy stosowanych przez skar\u380?\u261?c\u261? sp\u243?\u322?k\u281? sposob\u243?w zabezpiecze\u324? danych i ich skuteczno\u347?ci. Stwierdzone uchybienie nie mia\u322?o jednak wp\u322?ywu na wynik sprawy, poniewa\u380? w okoliczno\u347?ciach faktycznych sprawy zaistnia\u322?y przes\u322?anki do udzielenia upomnienia przez organ nadzorczy, na podstawie art. 58 ust. 2 lit. b RODO. Jak ju\u380? bowiem podniesiono, dosz\u322?o do naruszenia przepis\u243?w rozporz\u261?dzenia przez operacj\u281? przetwarzania (udost\u281?pnienia) bez podstawy prawnej. Ustalenie naruszenia art. 6 ust. 1 RODO pozostaje natomiast w zwi\u261?zku z zasad\u261? wyra\u380?on\u261? w art. 5 ust. 1 lit. a RODO, zgodnie z kt\u243?rym dane osobowe musz\u261? by\u263? przetwarzane zgodnie z prawem (...).
\par 
\par Zdaniem s\u261?du I instancji wobec prawid\u322?owego stwierdzenia braku co najmniej jednej przes\u322?anki legalizuj\u261?cej przetwarzania wymienionej w art. 6 ust. 1 RODO - niepowo\u322?anie w zaskar\u380?onej decyzji art. 5 ust. 1 lit. a RODO, a wadliwe powo\u322?anie art. 5 ust. 1 lit. f RODO, pozosta\u322?o bez wp\u322?ywu na prawid\u322?owo\u347?\u263? rozstrzygni\u281?cia. W ocenie s\u261?du I instancji nie jest uzasadnione stanowisko skar\u380?\u261?cej sp\u243?\u322?ki, \u380?e przedmiot post\u281?powania wszcz\u281?tego skarg\u261? M. T. jest to\u380?samy z przedmiotem post\u281?powania zako\u324?czonego decyzj\u261? Prezesa UODO z 17 grudnia 2020 r. (uchylon\u261? wyrokiem Wojew\u243?dzkiego S\u261?du Administracyjnego z 5 pa\u378?dziernika 2021 r., II SA/Wa 528/21 \u8211? od wyroku wniesiono skarg\u281? kasacyjn\u261?), a prowadzenie tego i szeregu innych post\u281?powa\u324? skutkuje wielokrotn\u261? ocen\u261? tego samego dzia\u322?ania i wielokrotnym nak\u322?adaniem sankcji za to samo zdarzenie. Zdaniem s\u261?du w \u347?wietle art. 77 ust. 1 RODO M. T. mia\u322? prawo wyst\u261?pi\u263? do Prezesa UODO z indywidualn\u261? skarg\u261?, zarzucaj\u261?c niezgodne z przepisami RODO przetwarzanie (ujawnienie podmiotom nieuprawnionym) jego danych osobowych, a Prezes UODO by\u322? zobowi\u261?zany do rozpatrzenia tej skargi. S\u261?d podkre\u347?li\u322?, \u380?e upomnienie przewidziane w art. 58 ust. 2 lit. b RODO to uprawnienie naprawcze, a nie sankcja, kt\u243?re w \u347?wietle jednoznacznej tre\u347?ci wskazanego przepisu mo\u380?e by\u263? udzielone administratorowi lub podmiotowi przetwarzaj\u261?cemu. W ocenie s\u261?du kwestie dotycz\u261?ce zastosowania odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych odpowiadaj\u261?cych ryzyku naruszenia zdolno\u347?ci do ci\u261?g\u322?ego zapewnienia poufno\u347?ci, integralno\u347?ci, dost\u281?pno\u347?ci i odporno\u347?ci systemu przetwarzania danych osobowych, a tak\u380?e zapewniaj\u261?cych zdolno\u347?\u263? skutecznego i szybkiego stwierdzenia naruszenia ochrony danych osobowych oraz zapewniaj\u261?cych regularn\u261? ocen\u281? skuteczno\u347?ci tych \u347?rodk\u243?w podlega\u322?y badaniu i ocenie wy\u322?\u261?cznie w post\u281?powaniu zako\u324?czonym decyzj\u261? z 17 grudnia 2020 r., kt\u243?r\u261? na\u322?o\u380?ono na skar\u380?\u261?c\u261? kar\u281? pieni\u281?\u380?n\u261?.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (Dz. U. z 2022 r. poz. 329 ze zm.; dalej "p.p.s.a."), oddali\u322? skarg\u281?.
\par 
\par Skarg\u281? kasacyjn\u261? od powy\u380?szego wyroku wywiod\u322?a skar\u380?\u261?ca sp\u243?\u322?ka, zaskar\u380?aj\u261?c wyrok w ca\u322?o\u347?ci. Wnios\u322?a o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci i uwzgl\u281?dnienie skargi, ewentualnie o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci i przekazanie sprawy do ponownego rozpoznania s\u261?dowi I instancji. Nadto wnios\u322?a o rozpoznanie sprawy na rozprawie i zas\u261?dzenie zwrotu koszt\u243?w post\u281?powania. Zaskar\u380?onemu wyrokowi zarzuci\u322?a naruszenie:
\par 
\par 1. przepis\u243?w prawa materialnego, tj. art. 6 ust. 1 RODO w zw. z art. 4 pkt 2 RODO poprzez jego niew\u322?a\u347?ciwe zastosowanie polegaj\u261?ce na przyj\u281?ciu, \u380?e okoliczno\u347?ci faktyczne potwierdzaj\u261? stwierdzone przez Prezesa UODO nieuprawnione udost\u281?pnienie danych w rozumieniu art. 6 ust. 1 RODO, podczas gdy \u380?aden z fakt\u243?w ustalonych lub znanych Prezesowi UODO nie uzasadnia\u322? kwalifikacji dzia\u322?a\u324? administratora jako udost\u281?pnienie lub ujawnienie danych osobowych podmiotom trzecim, za\u347? \u380?adne z dzia\u322?a\u324? lub zaniecha\u324? administratora, analizowanych przez Prezesa UODO nie mie\u347?ci\u322?o si\u281? w granicach poj\u281?cia przetwarzania, o kt\u243?rym mowa w art. 4 pkt 2 RODO;
\par 
\par 2. przepis\u243?w prawa materialnego, tzn. art. 6 ust. 1 RODO polegaj\u261?ce na przyj\u281?ciu nieprawid\u322?owej i budz\u261?cej w\u261?tpliwo\u347?ci wyk\u322?adni, z kt\u243?rej wynika, \u380?e art. 6 ust 1 RODO mia\u322? w niniejszej sprawie zastosowanie w zakresie podstawy prawnej udost\u281?pnienia danych, podczas gdy incydent polegaj\u261?cy na cyberataku na baz\u281? danych oraz uzyskanie dost\u281?pu do niej przez nieznan\u261? osob\u281? trzeci\u261? nie oznacza, \u380?e skar\u380?\u261?ca udost\u281?pni\u322?a dane osobowe na rzecz nieznanej osoby trzeciej, za\u347? przyj\u281?ta przez WSA wyk\u322?adnia pozbawia prawo waloru przewidywalno\u347?ci, tzn. nie pozwala skar\u380?\u261?cej zrozumie\u263? odpowiedzi na pytanie, jakie dzia\u322?anie skar\u380?\u261?cej by\u322?oby zgodne z prawem, to znaczy jak skar\u380?\u261?ca powinna si\u281? zachowa\u263?, aby nie dosz\u322?o do naruszenia art. 6 ust. 1 RODO;
\par 
\par 3. przepis\u243?w prawa materialnego, tj. art. 6 ust. 1 w zw. z art. 4 pkt 12 RODO poprzez jego niew\u322?a\u347?ciwe zastosowanie polegaj\u261?ce na braku uwzgl\u281?dnienia r\u243?\u380?nicy mi\u281?dzy nieuprawnionym ujawnieniem lub udost\u281?pnieniem danych osobowych, kt\u243?ry stanowi czynno\u347?\u263? przetwarzania, a naruszeniem ochrony danych, o kt\u243?rym mowa w art. 4 pkt 12 RODO, kt\u243?ry nie stanowi czynno\u347?ci przetwarzania danych, i w efekcie b\u322?\u281?dne przyj\u281?cie, \u380?e sam fakt w\u322?amania si\u281? przez cyberprzest\u281?pc\u281? do bazy danych stanowi bezprawne udost\u281?pnienie mu tych danych przez administratora;
\par 
\par 4. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. c p.p.s.a. w zw. z art. 58 ust. 2 lit. b RODO i z art. 77 \u167? 4 i art. 80 k.p.a. polegaj\u261?ce na b\u322?\u281?dnym przyj\u281?ciu, \u380?e w ustalonym stanie faktycznym zasadnym by\u322?o udzielenie administratorowi upomnienia, podczas gdy ani nie zaistnia\u322?y \u380?adne okoliczno\u347?ci uzasadniaj\u261?ce udzielenie upomnienia, ani tre\u347?\u263? upomnienia nie wskazuje, jakich dzia\u322?a\u324? oczekuje si\u281? od skar\u380?\u261?cej sp\u243?\u322?ki, aby przywr\u243?ci\u263? stan zgodny z prawem, usun\u261?\u263? skutki naruszenia, lub zapobiec wyst\u281?powaniu narusze\u324? w przysz\u322?o\u347?ci;
\par 
\par 5. przepis\u243?w prawa materialnego, tj. art. 28 ust. 10 RODO, poprzez jego niew\u322?a\u347?ciwe zastosowanie polegaj\u261?ce na b\u322?\u281?dnym przyj\u281?ciu, \u380?e w razie nieuprawnionego udost\u281?pnienia danych przez podmiot przetwarzaj\u261?cy dzia\u322?aj\u261?cy poza poleceniem administratora, to administrator narusza art. 6 ust. 1 RODO, podczas gdy art. 28 ust. 10 RODO wprost stanowi, \u380?e je\u380?eli podmiot przetwarzaj\u261?cy naruszy RODO przy okre\u347?laniu cel\u243?w i sposob\u243?w przetwarzania, uznaje si\u281? go za administratora w odniesieniu do tego przetwarzania;
\par 
\par 6. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. c p.p.s.a. w zw. z art. 77 \u167? 1 i art. 80 k.p.a. poprzez b\u322?\u281?dne przyj\u281?cie, \u380?e Prezes UODO rozpatrzy\u322? ca\u322?y materia\u322? dowodowy, podczas gdy wydaj\u261?c decyzj\u281? Prezes UODO w og\u243?le nie rozgraniczy\u322? roli podmiotu przetwarzaj\u261?cego i administratora, przypisuj\u261?c skar\u380?\u261?cej sp\u243?\u322?ce odpowiedzialno\u347?\u263? za dzia\u322?ania lub zaniechania znajduj\u261?ce si\u281? poza jej kontrol\u261?;
\par 
\par 7. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7 k.p.a. poprzez b\u322?\u281?dne przyj\u281?cie, \u380?e do wydania decyzji stwierdzaj\u261?cej naruszenie art. 6 ust. 1 RODO przez administratora wystarczy\u322?o ustalenie samego faktu wyst\u261?pienia wycieku danych po stronie podmiotu przetwarzaj\u261?cego, bez zbadania i oceny poziomu zabezpiecze\u324? stosowanych przez Administratora i podmiot przetwarzaj\u261?cy, jak r\u243?wnie\u380? oceny roli administratora w samym zdarzeniu;
\par 
\par 8. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7 i art. 8 \u167? 1 k.p.a. polegaj\u261?ce na b\u322?\u281?dnym przyj\u281?ciu za bezsporny fakt, \u380?e nast\u261?pi\u322?o nieuprawnione ujawnienie i udost\u281?pnienie danych uczestnika post\u281?powania osobie trzeciej, podczas gdy bezsporne jest jedynie wyst\u261?pienie cyberataku i nieuprawnionego dost\u281?pu do danych, za\u347? administrator nie dokona\u322? \u380?adnej czynno\u347?ci przetwarzania polegaj\u261?cej na ujawnieniu lub udost\u281?pnieniu danych uczestnika post\u281?powania osobie trzeciej;
\par 
\par 9. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. c i art. 145 \u167? 3 p.p.s.a. w zw. z art. 61a \u167? 1, art. 104 \u167? 1 i art. 105 \u167? 1 k.p.a., polegaj\u261?ce na b\u322?\u281?dnym przyj\u281?ciu, \u380?e osoba, kt\u243?rej dane dotycz\u261?, przez sam fakt obj\u281?cia jej danych incydentem bezpiecze\u324?stwa, mia\u322?a prawo domaga\u263? si\u281? od Prezesa UODO rozpatrzenia jej sprawy i stwierdzenia naruszenia przepis\u243?w RODO w zakresie przetwarzania jej danych osobowych, podczas gdy nie zgromadzono \u380?adnych dowod\u243?w wskazuj\u261?cych na naruszenie art. 6 ust. 1 RODO przez skar\u380?\u261?c\u261?, w zwi\u261?zku z czym nie nale\u380?a\u322?o wszczyna\u263? odr\u281?bnego post\u281?powania w sprawie tego samego naruszenia, co do kt\u243?rego prowadzono post\u281?powanie z urz\u281?du, za\u347? po dodatkowym potwierdzeniu tego faktu w toku post\u281?powania, post\u281?powanie nale\u380?a\u322?o umorzy\u263? lub odm\u243?wi\u263? uwzgl\u281?dnienia wniosku;
\par 
\par 10. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. c i art. 145 \u167? 3 p.p.s.a. w zw. z art. 6, 7, 8 \u167? 1 KPA, art. 77 \u167? 1 i 4 k.p.a. oraz art. 80 i art. 97 \u167? 1 pkt 4 k.p.a. polegaj\u261?ce na b\u322?\u281?dnym przyj\u281?ciu, \u380?e post\u281?powanie, kt\u243?re Prezes UODO prowadzi\u322? w sprawie tego samego naruszenia z urz\u281?du (sygn. DKN.5130.1354.2020.MM sprawa na etapie NSA, III OSK 669/22), dotyczy\u322?o innej materii (\u347?rodk\u243?w bezpiecze\u324?stwa stosowanych przez administratora) ni\u380? decyzja w niniejszej sprawie (podstaw prawnych przetwarzania), podczas gdy w toku post\u281?powania prowadzonego z urz\u281?du Prezes UODO bada\u322? ca\u322?okszta\u322?t okoliczno\u347?ci tego samego naruszenia ochrony danych i ca\u322?o\u347?ciowo ocenia\u322? zgodno\u347?\u263? z prawem dzia\u322?a\u324? i zaniecha\u324? administratora, co w efekcie doprowadzi\u322?o do wielokrotnego rozstrzygania i stosowania uprawnie\u324? naprawczych w odniesieniu do tego samego naruszenia ochrony danych, przy jednoczesnym nieuwzgl\u281?dnieniu fakt\u243?w znanych Prezesowi UODO z urz\u281?du;
\par 
\par 11. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. a i c p.p.s.a. w zw. z art. 7, art. 77 \u167? 1 i 4 oraz art. 78 \u167? 1 k.p.a. poprzez nieuchylenie zaskar\u380?onej decyzji, w kt\u243?rej Prezes UODO jednocze\u347?nie zaniecha\u322? zbadania zabezpiecze\u324? stosowanych przez skar\u380?\u261?c\u261? i podmiot przetwarzaj\u261?cy i, mimo wniosku skar\u380?\u261?cej, nie uwzgl\u281?dni\u322? ustale\u324? faktycznych i prawnych poczynionych przez Prezesa UODO w decyzji z 17 grudnia 2020 r., DKN.5130.1354.2020.MM (sprawa na etapie NSA, III OSK 669/22), mimo \u380?e ustalenia faktyczne z ww. decyzji co do zasady nie s\u261? sporne, za\u347? w toku tego post\u281?powania, mimo takiego samego stanu faktycznego Prezes UODO nie stwierdzi\u322? naruszenia art. 6 ust. 1 RODO przez skar\u380?\u261?c\u261?, co jest prawomocne i nie b\u281?dzie przedmiotem rozwa\u380?a\u324? NSA, poniewa\u380? decyzja jest prawomocna w cz\u281?\u347?ci umarzaj\u261?cej post\u281?powanie w pozosta\u322?ym zakresie (post\u281?powanie przed NSA dotyczy narusze\u324? innych przepis\u243?w ni\u380? art. 6 ust. 1 RODO);
\par 
\par 12. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. a i c p.p.s.a. polegaj\u261?ce na zaniechaniu uchylenia zaskar\u380?onej decyzji, pomimo stwierdzenia przez WSA, \u380?e Prezes UODO nie przeprowadzi\u322? post\u281?powania dowodowego w zakresie zabezpiecze\u324? stosowanych przez administratora i podmiot przetwarzaj\u261?cy, nie uwzgl\u281?dni\u322? znanych z urz\u281?du fakt\u243?w o ww. zabezpieczeniach, w tym faktu, \u380?e ten sam organ wyda\u322? decyzj\u281? oceniaj\u261?c\u261? te zabezpieczenia i nie stwierdzaj\u261?c\u261? w tym zakresie narusze\u324?, oraz \u380?e dokona\u322? nieprawid\u322?owej kwalifikacji prawnej, wskazuj\u261?c na zwi\u261?zek naruszenia art. 6 ust. 1 RODO z art. 5 ust. 1 lit. f RODO, podczas gdy w sprawie w og\u243?le nie badano w\u261?tku stosowania \u347?rodk\u243?w bezpiecze\u324?stwa;
\par 
\par 13. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 2 i art. 141 \u167? 4 p.p.s.a. oraz art. 45 ust. 1 Konstytucji RP polegaj\u261?ce na zaniechaniu rozpatrzenia przez s\u261?d cz\u281?\u347?ci argument\u243?w i zarzut\u243?w strony skar\u380?\u261?cej, co pozbawi\u322?o skar\u380?\u261?c\u261? prawa do rzetelnego i sprawiedliwego rozpoznania sprawy;
\par 
\par 14. przepis\u243?w post\u281?powania maj\u261?ce istotny wp\u322?yw na wynik sprawy, tj. art. 145 \u167? 1 pkt 1 lit. a i c p.p.s.a. w zw. z art. 8 \u167? 2 k.p.a., polegaj\u261?ce na braku uchylenia zaskar\u380?onej decyzji Prezesa UODO, mimo \u380?e: a) nie zaistnia\u322?y przes\u322?anki do udzielenia skar\u380?\u261?cej upomnienia, b) nie zaistnia\u322?y przes\u322?anki do stwierdzenia przez skar\u380?\u261?c\u261? naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit f RODO, ani te\u380? c) nie wyst\u281?powa\u322?a procesowa mo\u380?liwo\u347?\u263? wydania takiej decyzji w sytuacji, gdy uczestnik post\u281?powania, sk\u322?adaj\u261?c skarg\u281? do Prezesa UODO, nie wni\u243?s\u322? o udzielenie skar\u380?\u261?cej upomnienia lub o stwierdzenie niezgodno\u347?ci z prawem jej dzia\u322?a\u324?, za\u347? d) utrwalona praktyka rozstrzygania spraw w podobnym stanie faktycznym i prawnym jest ca\u322?kowicie odmienna.
\par 
\par W odpowiedzi na skarg\u281? kasacyjn\u261? organ wni\u243?s\u322? o jej oddalenie.
\par 
\par Naczelny S\u261?d Administracyjny zwa\u380?y\u322?, co nast\u281?puje.
\par 
\par Stosownie do art. 183 \u167? 1 p.p.s.a. Naczelny S\u261?d Administracyjny rozpoznaje spraw\u281? w granicach skargi kasacyjnej, bior\u261?c pod rozwag\u281? z urz\u281?du jedynie niewa\u380?no\u347?\u263? post\u281?powania. W rozpoznawanej sprawie nie zachodzi \u380?adna z okoliczno\u347?ci skutkuj\u261?cych niewa\u380?no\u347?ci\u261? post\u281?powania, o jakich mowa w art. 183 \u167? 2 p.p.s.a. i nie zachodzi \u380?adna z przes\u322?anek, o kt\u243?rych mowa w art. 189 p.p.s.a., kt\u243?re Naczelny S\u261?d Administracyjny rozwa\u380?a z urz\u281?du dokonuj\u261?c kontroli zaskar\u380?onego skarg\u261? kasacyjn\u261? wyroku. W tych okoliczno\u347?ciach w sprawie badaniu podlega\u322?y wy\u322?\u261?cznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.
\par 
\par Skarga kasacyjna jest uzasadniona.
\par 
\par Jako pierwsze rozpoznane zostan\u261? zarzuty najdalej id\u261?ce okre\u347?lone w pkt. 9-10, kt\u243?re okaza\u322?y si\u281? cz\u281?\u347?ciowo zasadne. Ich istota sprowadza si\u281? do zarzucenia s\u261?dowi I instancji akceptacji dzia\u322?ania organu nadzoru, kt\u243?ry zaniecha\u322? przeprowadzenia jednego post\u281?powania wszcz\u281?tego z urz\u281?du obejmuj\u261?cego ca\u322?o\u347?\u263? zdarzenia, a w to miejsce prowadzi\u322? szereg rozproszonych post\u281?powa\u324? dotycz\u261?cych tej samej materii.
\par 
\par Wskaza\u263? nale\u380?y, \u380?e przedmiotem tej sprawy jest incydent naruszenia danych osobowych klienta M. T., kt\u243?rych administratorem jest [...] w likwidacji w W. Zdarzenie polega\u322?o na braku ich zabezpieczenia w dniach 3-14 marca 2020 r. przez podmiot przetwarzaj\u261?cy [...] w M. (B.), z kt\u243?rym administrator, tj. [...] w likwidacji w W. zawar\u322? 2 marca 2018 r. umow\u281? powierzenia przetwarzania danych osobowych. Incydent ten by\u322? przedmiotem post\u281?powania wszcz\u281?tego z urz\u281?du przez Prezesa UODO, zako\u324?czonego wydaniem decyzji 17 grudnia 2020 r., pod sygn. DKN.5130.1354.2020.104813, kt\u243?rej punkt 1 zosta\u322? nast\u281?pnie uchylony wyrokiem WSA w Warszawie z 5 pa\u378?dziernika 2021 r. (II SA/Wa 528/21). Skarg\u281? kasacyjn\u261? od tego wyroku NSA oddali\u322? wyrokiem z 18 czerwca 2025 r. (III OSK 669/22). Jednocze\u347?nie osoby dotkni\u281?te powy\u380?szym incydentem skorzysta\u322?y ze \u347?rodka prawnego, o kt\u243?rym mowa w art. 77 ust. 1 RODO. Prezes UODO w tych sprawach wszcz\u261?\u322? odr\u281?bne post\u281?powania i w ka\u380?dym z nich korzystaj\u261?c ze swojego uprawnienia naprawczego udzieli\u322? \u8211? [...] w likwidacji w W. upomnienia za naruszenie wskazanych w tre\u347?ci decyzji przepis\u243?w RODO za czyn polegaj\u261?cy na udost\u281?pnieniu bez podstawy prawnej danych osobowych indywidualnie oznaczonej osoby. Skargi do WSA w tych sprawach wnosi\u322? administrator danych \u8211? [...] w likwidacji w W., a s\u261?dy I instancji albo oddala\u322?y skargi, albo uchyla\u322?y zaskar\u380?on\u261? decyzj\u281? i umarza\u322?y post\u281?powanie przed Prezesem UODO.
\par 
\par Zarzuty skargi kasacyjnej obj\u281?te punktami 9. i 10. kwestionuj\u261? umocowanie prawne dla stanowiska s\u261?du I instancji, zgodnie z kt\u243?rym wszcz\u281?cie post\u281?powania w zwi\u261?zku ze zg\u322?oszeniem administratora danych osobowych naruszenia zasad ich przetwarzania dokonanego na podstawie art. 33 ust. 1 RODO nie stoi na przeszkodzie w prowadzeniu odr\u281?bnego post\u281?powania wszcz\u281?tego w zwi\u261?zku ze z\u322?o\u380?eniem indywidualnej skargi do organu nadzorczego na nieprawid\u322?owo\u347?ci w procesie przetwarzania danych osobowych. S\u261?d I instancji uzna\u322? tym samym za odpowiadaj\u261?ce prawu prowadzenie odr\u281?bnych post\u281?powa\u324? w przedmiocie rozpoznania skarg os\u243?b fizycznych, je\u347?li prowadzone jest post\u281?powanie g\u322?\u243?wne maj\u261?ce na celu ustalenie odpowiedzialno\u347?ci administracyjnej za naruszenie obowi\u261?zk\u243?w administratora zwi\u261?zanych z przetwarzaniem danych osobowych, wynikaj\u261?cych z przepis\u243?w RODO.
\par 
\par Naczelny S\u261?d Administracyjny stoi na stanowisku, \u380?e konieczne jest wszcz\u281?cie i przeprowadzenie jednego post\u281?powania przez Prezesa UODO, w ramach kt\u243?rego dojdzie do ustalenia wszystkich narusze\u324? przepis\u243?w RODO i wymierzenia jednej skutecznej, proporcjonalnej i odstraszaj\u261?cej kary administracyjnej na podmiot odpowiedzialny w zwi\u261?zku ze zdarzeniem naruszenia danych osobowych polegaj\u261?cym na braku zabezpieczenia danych klient\u243?w administratora w dniach 3-14 marca 2020 r. przez podmiot przetwarzaj\u261?cy [...] w M. (B.), z kt\u243?rym administrator, tj. [...] w likwidacji w W. zawar\u322? 2 marca 2018 r. umow\u281? powierzenia przetwarzania danych osobowych.
\par 
\par Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zb\u281?dnej zw\u322?oki - w miar\u281? mo\u380?liwo\u347?ci, nie p\u243?\u378?niej ni\u380? w terminie 72 godzin po stwierdzeniu naruszenia - zg\u322?asza je organowi nadzorczemu w\u322?a\u347?ciwemu zgodnie z art. 55 RODO, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Do zg\u322?oszenia przekazanego organowi nadzorczemu po up\u322?ywie 72 godzin do\u322?\u261?cza si\u281? wyja\u347?nienie przyczyn op\u243?\u378?nienia. Z kolei przepis art. 77 ust. 1 RODO stanowi, \u380?e bez uszczerbku dla innych administracyjnych lub \u347?rodk\u243?w ochrony prawnej przed s\u261?dem ka\u380?da osoba, kt\u243?rej dane dotycz\u261?, ma prawo wnie\u347?\u263? skarg\u281? do organu nadzorczego, w szczeg\u243?lno\u347?ci w pa\u324?stwie cz\u322?onkowskim swojego zwyk\u322?ego pobytu, swojego miejsca pracy lub miejsca pope\u322?nienia domniemanego naruszenia, je\u380?eli s\u261?dzi, \u380?e przetwarzanie danych osobowych jej dotycz\u261?ce narusza niniejsze rozporz\u261?dzenie.
\par 
\par O ile wi\u281?c przepis art. 33 ust. 1 RODO nak\u322?ada obowi\u261?zek prawny na administratora danych osobowych zg\u322?oszenia organowi nadzoru naruszenia ochrony danych osobowych, okre\u347?la sytuacj\u281?, w kt\u243?rej ten obowi\u261?zek powstaje oraz termin jego dope\u322?nienia, o tyle przepis art. 77 ust. 1 RODO reguluje uprawnienie osoby, kt\u243?rej dane osobowe s\u261? przetwarzane, do z\u322?o\u380?enia skargi do organu nadzoru, je\u380?eli s\u261?dzi, \u380?e przetwarzanie jej danych osobowych narusza przepisy RODO. \u379?aden z tych przepis\u243?w nie odnosi si\u281? do zagadnienia procesowego zwi\u261?zanego z wszcz\u281?ciem post\u281?powania kontrolnego oraz ile post\u281?powa\u324? nale\u380?y prowadzi\u263? w zwi\u261?zku z danym incydentem.
\par 
\par Zadania organu nadzoru, w tym zadania zwi\u261?zane z prowadzeniem post\u281?powa\u324? normowanych przez RODO, uregulowane zosta\u322?y w przepisie art. 57 ust. 1 RODO, kt\u243?ry m.in. w lit. f wskazuje, \u380?e organ nadzoru rozpatruje skargi wniesione przez osob\u281?, kt\u243?rej dane dotycz\u261?, lub przez podmiot, organizacj\u281? lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi post\u281?powania w przedmiocie tych skarg i w rozs\u261?dnym terminie informuje skar\u380?\u261?cego o post\u281?pach i wynikach tych post\u281?powa\u324?, w szczeg\u243?lno\u347?ci je\u380?eli niezb\u281?dne jest dalsze prowadzenie post\u281?powa\u324? lub koordynacja dzia\u322?a\u324? z innym organem nadzorczym. Przepisy art. 57 ust. 1 RODO milcz\u261? natomiast w przedmiocie post\u281?powania wszczynanego w zwi\u261?zku ze zg\u322?oszeniem, o kt\u243?rym mowa w art. 33 ust. 1 RODO. Doda\u263? nale\u380?y, \u380?e w przypadku naruszenia ochrony danych osobowych badana mo\u380?e by\u263? kwestia w\u322?a\u347?ciwej ochrony przetwarzania danych osobowych, a zatem realizacji obowi\u261?zk\u243?w administratora, o kt\u243?rych mowa m.in. w art. 5 ust. 1 RODO. Musi to prowadzi\u263? do konkluzji, i\u380? regulacja z art. 57 ust. 1 RODO jest niewyczerpuj\u261?ca i wymienia przyk\u322?adowe rodzaje zada\u324? i ewentualnych post\u281?powa\u324? kontrolnych.
\par 
\par Autor skargi kasacyjnej stoi na stanowisku, i\u380? post\u281?powanie zwi\u261?zane z badaniem realizacji obowi\u261?zk\u243?w administratora z art. 5 ust. 1 i art. 32 RODO dotyczy tej samej materii, co post\u281?powania inicjowane indywidualnymi skargami, o kt\u243?rych stanowi art. 77 ust. 1 RODO. Wyra\u380?enie j\u281?zykowe "tej samej lub innej materii" ma charakter nienormatywny, ani tak\u380?e nie nawi\u261?zuje do doktrynalnego poj\u281?cia przedmiotu post\u281?powania. Analiza uzasadnienia zaskar\u380?onego wyroku prowadzi\u263? mo\u380?e do konkluzji, \u380?e post\u281?powanie nakierowane na ustalenie, czy dosz\u322?o do realizacji obowi\u261?zk\u243?w administratora ma odr\u281?bny przedmiot od post\u281?powa\u324? wszczynanych wskutek indywidualnych skarg, gdy\u380? ich zakres dotyczy wy\u322?\u261?cznie kwestii ochrony indywidualnych danych, a nie zagadnie\u324? zabezpiecze\u324? danych osobowych. Ocen\u281? te nale\u380?y podzieli\u263? tylko w cz\u281?\u347?ci. Mo\u380?na za\u322?o\u380?y\u263?, i\u380? doj\u347?\u263? mo\u380?e do naruszenia ochrony danych osobowych, mimo dope\u322?nienia przez administratora swoich obowi\u261?zk\u243?w wynikaj\u261?cych z RODO. Mo\u380?e tak\u380?e doj\u347?\u263? do sytuacji, w kt\u243?rych oba przedmioty b\u281?d\u261? pozostawa\u263? w zwi\u261?zku, gdy\u380? naruszenie obowi\u261?zk\u243?w administratora doprowadzi do naruszenia ochrony danych osobowych. W\u243?wczas przedmioty obu post\u281?powa\u324?, cho\u263? nie b\u281?d\u261? takie same, b\u281?d\u261? jednak pozostawa\u263? ze sob\u261? w takim zwi\u261?zku, i\u380? nieuzasadnione b\u281?dzie prowadzenie odr\u281?bnych post\u281?powa\u324? wszcz\u281?tych w zwi\u261?zku z indywidualnymi skargami, o kt\u243?rych mowa w art. 77 ust. 1 RODO. Przypadek taki b\u281?dzie mie\u263? miejsce w\u243?wczas, gdy naruszenie obowi\u261?zk\u243?w administratora, o kt\u243?rych mowa m.in. w przepisach art. 5 ust. 1 i art. 32 RODO, prowadzi do naruszenia ochrony danych osobowych, co wi\u261?\u380?e si\u281? z potrzeb\u261? na\u322?o\u380?enia kary administracyjnej. W takich przypadkach wyja\u347?nienie zagadnienia niedope\u322?nienia obowi\u261?zk\u243?w administratora b\u281?dzie r\u243?wnoznaczne z wyja\u347?nieniem okoliczno\u347?ci naruszenia zasad przetwarzania danych osobowych konkretnej osoby jako skutku lub nast\u281?pstwa niedope\u322?nienia tych obowi\u261?zk\u243?w. W takich sytuacjach mno\u380?enie post\u281?powa\u324? administracyjnych jest niedopuszczalne, gdy\u380? celem i przedmiotem obu post\u281?powa\u324? jest na\u322?o\u380?enie kary administracyjnej. W tych sprawach nie jest jednak wykluczone skorzystanie przez osoby indywidualne ze \u347?rodka prawnego, o kt\u243?rym mowa w art. 77 ust. 1 RODO, np. po wydaniu ostatecznej decyzji w post\u281?powaniu zwi\u261?zanym z badaniem realizacji obowi\u261?zk\u243?w administratora z art. 5 ust. 1 i art. 32 RODO. Wynika to z prawa do skutecznego \u347?rodka prawnego i dost\u281?pu do bezstronnego s\u261?du ustanowionego w art. 47 Karty Praw Podstawowych Unii Europejskiej z 7 grudnia 2000 r. (Dz. U. UE C z dnia 14 grudnia 2007 r.), z kt\u243?rego tre\u347?ci wywie\u347?\u263? nale\u380?y, \u380?e je\u347?li s\u261?d wyda\u322? wyrok wi\u261?\u380?\u261?cy erga omnes, ale osoba, kt\u243?rej prawa zosta\u322?y naruszone, nie uczestniczy\u322?a w tym post\u281?powaniu, to ma ona prawo do \u347?rodka odwo\u322?awczego z pomini\u281?ciem mocy wi\u261?\u380?\u261?cej takiego wyroku zapad\u322?ego w sprawie "g\u322?\u243?wnej". Przepis art. 47 Karty Praw Podstawowych Unii Europejskiej ma charakter uniwersalny i odnosi si\u281? do wszystkich uprawnie\u324? wynikaj\u261?cych z prawa UE, r\u243?wnie\u380? do uprawnie\u324? os\u243?b, kt\u243?rych dane osobowe s\u261? przetwarzane niezgodnie z przepisami RODO.
\par 
\par Ponadto, je\u380?eli naruszenie praw wielu os\u243?b jest skutkiem jednego stanu faktycznego (jednego naruszenia), to nale\u380?y przyj\u261?\u263?, \u380?e jest to jedna sprawa materialna w rozumieniu Kodeksu post\u281?powania administracyjnego. Na przedmiot sprawy administracyjnej sk\u322?ada si\u281? element przedmiotowy (stan faktyczny) oraz podmiotowy (osoby, kt\u243?rych dane zosta\u322?y udost\u281?pnione). Je\u347?li do naruszenia RODO dosz\u322?o na skutek jednego zdarzenia, to jego konsekwencje dotycz\u261? interesu prawnego wielu os\u243?b. To stanowisko wspiera wyk\u322?adnia systemowa. Motyw 20 RODO m\u243?wi o rozpatrywaniu przez organy nadzorcze skarg "zwi\u261?zanych z operacjami przetwarzania danych". Podobnie motyw 131 RODO wskazuje na uj\u281?cie przedmiotowe, post\u281?powanie prowadzone jest wobec czynno\u347?ci przetwarzania ("Je\u380?eli funkcj\u281? wiod\u261?cego organu nadzorczego wobec czynno\u347?ci przetwarzania prowadzonych przez administratora lub podmiot przetwarzaj\u261?cy powinien pe\u322?ni\u263? inny organ nadzorczy, ale konkretny przedmiot skargi lub ewentualnego naruszenia dotyczy wy\u322?\u261?cznie czynno\u347?ci przetwarzania prowadzonych przez administratora"). Tym samym, naruszenie ochrony danych (zdarzenie, incydent) powinno spotka\u263? si\u281? z jedn\u261? reakcj\u261? organu nadzorczego, tym bardziej, \u380?e liczba os\u243?b poszkodowanych naruszeniem jest okoliczno\u347?ci\u261? obci\u261?\u380?aj\u261?c\u261? administratora. Wydana decyzja b\u281?dzie mia\u322?a wp\u322?yw na prawa wszystkich podmiot\u243?w obj\u281?tych naruszeniem i osoby te powinny mie\u263? prawo do kwestionowania stanowiska PUODO. Szczeg\u243?lnie je\u347?liby w ocenie organu nie dosz\u322?o do naruszenia, osoby poszkodowane powinny mie\u263? mo\u380?liwo\u347?\u263? zaskar\u380?enia decyzji "g\u322?\u243?wnej", kt\u243?ra w innym przypadku mia\u322?aby charakter wi\u261?\u380?\u261?cy i sta\u322?aby na przeszkodzie realizacji indywidualnych uprawnie\u324? wynikaj\u261?cych z prawa UE. Sytuacja, w kt\u243?rej organ prowadzi post\u281?powanie g\u322?\u243?wne z pomini\u281?ciem os\u243?b poszkodowanych, z pewno\u347?ci\u261? narusza\u322?aby standard proceduralny wynikaj\u261?cy z art. 47 Karty Praw Podstawowych Unii Europejskiej, do kt\u243?rej to regulacji przepisy RODO zreszt\u261? si\u281? odwo\u322?uj\u261?.
\par 
\par Kolejnym argumentem przemawiaj\u261?cym za powy\u380?szym stanowiskiem jest tre\u347?\u263? przepisu art. 83 ust. 2 RODO, a w szczeg\u243?lno\u347?ci jego litery "a". Przepis ten wskazuje na okoliczno\u347?ci, kt\u243?re winny przem\u243?wi\u263? za na\u322?o\u380?eniem administracyjnej kary pieni\u281?\u380?nej, oraz okre\u347?la dyrektywy ustalenia jej wysoko\u347?ci. W\u347?r\u243?d tych dyrektyw, jako jedna z najwa\u380?niejszych, wskazana jest liczba poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?. Wywie\u347?\u263? z tego przepisu nale\u380?y, \u380?e liczba poszkodowanych os\u243?b warunkuje ukaranie administracyjn\u261? kar\u261? pieni\u281?\u380?n\u261? oraz determinuje wysoko\u347?\u263? takiej kary. Wy\u322?\u261?czenie do odr\u281?bnego rozpoznania spraw, w kt\u243?rych osoby indywidualne wnios\u322?y skargi do organu nadzoru, ma ten skutek, \u380?e pomniejsza liczb\u281? os\u243?b poszkodowanych w sprawie g\u322?\u243?wnej maj\u261?cej za przedmiot dany incydent zwi\u261?zany z niew\u322?a\u347?ciwym przetwarzaniem danych osobowych, naruszeniem obowi\u261?zk\u243?w administratora. Prowadzenie odr\u281?bnych post\u281?powa\u324? w odniesieniu do skarg indywidualnych skutkuje wi\u281?c tym, \u380?e nie mog\u261? by\u263? one uwzgl\u281?dnione w liczbie os\u243?b poszkodowanych branych pod rozwag\u281? przy podejmowaniu decyzji w przedmiocie na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej i jej wysoko\u347?ci w sprawie g\u322?\u243?wnej. Jest to te\u380? cz\u281?\u347?ciowo konsekwencj\u261? w\u261?tpliwo\u347?ci co do sensowno\u347?ci wielokrotnego upominania administratora za ten sam incydent.
\par 
\par Rozparcelowanie jednego incydentu tego rodzaju na wiele post\u281?powa\u324? w przedmiocie na\u322?o\u380?enia odpowiedzialno\u347?ci administracyjnej mo\u380?e prowadzi\u263? do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiar\u243?w poniesionych szk\u243?d. Taka decyzja procesowa organu prowadzi w gruncie rzeczy do naruszenia zasad i regu\u322? post\u281?powania wyja\u347?niaj\u261?cego, w tym przede wszystkim art. 7, art. 77 \u167? 1 i art. 80 k.p.a., gdy\u380? w\u243?wczas sprawa konkretnego incydentu zasadniczo nie mo\u380?e by\u263? prawid\u322?owo wyja\u347?niona przy uwzgl\u281?dnieniu wszystkich jego okoliczno\u347?ci faktycznych. Wy\u322?\u261?czenie bowiem pewnych fragment\u243?w zdarzenia powoduje ich wykluczenie z generalnego budowania obrazu ka\u380?dej indywidualnej sprawy zwi\u261?zanej z naruszeniem przepis\u243?w RODO.
\par 
\par Naczelny S\u261?d Administracyjny stoi na stanowisku, \u380?e kwestia odpowiedzialno\u347?ci administracyjnej administratora lub podmiotu przetwarzaj\u261?cego dane osobowe nie jest uregulowana w spos\u243?b jednolity w przepisach RODO i jest determinowana przez nast\u281?puj\u261?ce czynniki. Przede wszystkim zakres odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego zale\u380?\u261? od tego, czy umowa lub inny instrument prawny na podstawie kt\u243?rego nast\u261?pi\u322?o przekazanie przez administratora przetwarzania danych podmiotowi przetwarzaj\u261?cemu dane podlegaj\u261? prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego i wi\u261?\u380?\u261? podmiot przetwarzaj\u261?cy i administratora (art. 28 ust. 3 RODO). Nale\u380?y to rozumie\u263? w ten spos\u243?b, i\u380? taka umowa lub instrument musz\u261? podlega\u263? prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego, jak r\u243?wnie\u380? administrator i podmiot przetwarzaj\u261?cy musz\u261? podlega\u263? prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego, tj. pozostawa\u263? w zakresie jego jurysdykcji. W\u243?wczas mo\u380?liwe jest rozwa\u380?anie zagadnienia odr\u281?bnej oceny odpowiedzialno\u347?ci administratora danych osobowych oraz odr\u281?bnej odpowiedzialno\u347?ci podmiotu przetwarzaj\u261?cego za ewentualne naruszenie przepis\u243?w RODO, w tym odpowiedzialno\u347?ci administracyjnej. W takiej sytuacji odpowiedzialno\u347?\u263? administratora mo\u380?e zosta\u263? ograniczona np. do oceny dope\u322?nienia obowi\u261?zk\u243?w z art. 28 ust. 1 RODO na etapie zawierania umowy.
\par 
\par Z kolei w sytuacjach, gdy administrator podlegaj\u261?cy prawu UE lub prawu pa\u324?stwa cz\u322?onkowskiego i jego jurysdykcji zawiera umow\u281? o powierzenie przetwarzania danych osobowych, kt\u243?ra nie podlega prawu UE lub pa\u324?stwa cz\u322?onkowskiego lub z podmiotem, kt\u243?ry nie podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE, w\u243?wczas ponosi on odpowiedzialno\u347?\u263? obiektywn\u261? za wszystkie czynno\u347?ci przetwarzania danych osobowych dokonywane przez taki podmiot przetwarzaj\u261?cy. Wniosek taki mo\u380?liwy jest do wyprowadzenia w drodze wyk\u322?adni j\u281?zykowej przepisu art. 5 ust. 2 RODO, kt\u243?ry dochowanie zasad i obowi\u261?zk\u243?w przetwarzania danych osobowych, a nast\u281?pnie odpowiedzialno\u347?ci z tym zwi\u261?zanej wi\u261?\u380?e z administratorem danych, jak r\u243?wnie\u380? wyk\u322?adni systemowej ca\u322?o\u347?ci przepis\u243?w RODO, kt\u243?re nakierowane s\u261? na ochron\u281? danych osobowych oraz skuteczne egzekwowanie ka\u380?dego naruszenia prawa do ochrony danych osobowych. W przypadku naruszenia zasad przetwarzania danych osobowych wynikaj\u261?cych z RODO lub innych przepis\u243?w pa\u324?stwa cz\u322?onkowskiego odpowiedzialno\u347?\u263? ponosi administrator danych osobowych, chyba \u380?e mo\u380?liwe b\u281?dzie przypisanie takiej odpowiedzialno\u347?ci innemu podmiotowi zaanga\u380?owanemu w przetwarzanie danych osobowych na zasadach wynikaj\u261?cych z RODO (lub przepis\u243?w prawa pa\u324?stwa cz\u322?onkowskiego), a nast\u281?pnie jej skuteczne wyegzekwowanie zgodnie z przepisami RODO. To za\u347? oznacza, \u380?e przej\u281?cie obowi\u261?zk\u243?w administratora przez podmiot przetwarzaj\u261?cy musi nast\u261?pi\u263? na podstawie umowy lub instrumentu prawnego regulowanego przepisami RODO lub przepisami pa\u324?stwa cz\u322?onkowskiego UE i jednocze\u347?nie przez podmiot przetwarzaj\u261?cy, kt\u243?ry podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE, tak aby mo\u380?liwe by\u322?o poci\u261?gni\u281?cie go do odpowiedzialno\u347?ci prawnej wynikaj\u261?cej z RODO lub przepis\u243?w prawa pa\u324?stwa cz\u322?onkowskiego. Przez powy\u380?sze ustalenia nale\u380?y interpretowa\u263? przepis art. 83 ust. 2 lit. d RODO, gdy\u380? w przeciwnym razie niemo\u380?liwe by\u322?oby osi\u261?gni\u281?cie cel\u243?w odpowiedzialno\u347?ci administracyjnej, w tym cel\u243?w administracyjnych kar pieni\u281?\u380?nych, kt\u243?rych zastosowanie za naruszenie przepis\u243?w RODO winno by\u263? skuteczne, proporcjonalne i odstraszaj\u261?ce.
\par 
\par Nie spos\u243?b zatem zaakceptowa\u263? pogl\u261?du wyra\u380?onego przez WSA w Warszawie w sprawie "g\u322?\u243?wnej" w uzasadnieniu pisemnym wyroku z 5 pa\u378?dziernika 2021 r., II SA/Wa 528/21, w kt\u243?rym wskazano m.in. "(...)Trzeba podkre\u347?li\u263?, \u380?e podmiot przetwarzaj\u261?cy jest obowi\u261?zany do wsp\u243?\u322?dzia\u322?ania z administratorem, a nawet do udzielania mu pomocy w wywi\u261?zywaniu si\u281? z jego obowi\u261?zk\u243?w okre\u347?lonych w art. 32-36 (art. 28 rozporz\u261?dzenia). Na\u322?o\u380?enie zar\u243?wno na administratora, jak i na podmiot przetwarzaj\u261?cy do\u347?\u263? og\u243?lnego obowi\u261?zku zapewnienia bezpiecze\u324?stwa danych (art. 32 ust. 1) nie implikuje oczywi\u347?cie konieczno\u347?ci podejmowania przez te podmioty dzia\u322?a\u324? tego samego rodzaju i nie rodzi po ich stronie odpowiedzialno\u347?ci za naruszenia, niezale\u380?nie od tego, kt\u243?remu z nich mo\u380?na je przypisa\u263?. Nie ma tu mowy o jakimkolwiek solidarnym, w rozumieniu prawnym wykonywaniu przez strony obowi\u261?zk\u243?w dotycz\u261?cych zapewnienia bezpiecze\u324?stwa przetwarzania danych i solidarnej odpowiedzialno\u347?ci za naruszenie tych obowi\u261?zk\u243?w. Zdaniem Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie punktem odniesienia dla konkretyzacji obowi\u261?zk\u243?w kierowanych do administratora i do podmiotu przetwarzaj\u261?cego (np. art. 32 ust. 1) s\u261? ich prawnie wyznaczone funkcje. Wed\u322?ug rozporz\u261?dzenia funkcj\u261? administratora danych jest samodzielne lub wsp\u243?lnie z innymi ustalanie cel\u243?w i sposob\u243?w przetwarzania danych osobowych (art. 4 pkt 7 rozporz\u261?dzenia). Do podmiotu przetwarzaj\u261?cego nale\u380?y natomiast przetwarzanie danych osobowych w imieniu administratora (art. 4 pkt 8). Prowadzi to do wniosku, \u380?e na ka\u380?dym z tych podmiot\u243?w ci\u261?\u380?\u261? obowi\u261?zki dotycz\u261?ce zakresu ich indywidualnego uczestnictwa w procesie przetwarzania danych. Ta teza znajduje potwierdzenie w pi\u347?miennictwie. W komentarzu do art. 5 ust. 2 rozporz\u261?dzenia formu\u322?uj\u261?cego og\u243?ln\u261? zasad\u281? odpowiedzialno\u347?ci administratora danych za przestrzeganie przepis\u243?w rozporz\u261?dzenia dotycz\u261?cych przetwarzania danych osobowych wyra\u380?ono pogl\u261?d, \u380?e w przypadku powierzenia przetwarzania danych osobowych, obowi\u261?zki wdro\u380?enia odpowiednich \u347?rodk\u243?w technicznych i organizacyjnych w celu zapewnienia odpowiedniego stopnia bezpiecze\u324?stwa odpowiadaj\u261?cego ryzyku naruszenia praw lub wolno\u347?ci os\u243?b fizycznych o r\u243?\u380?nym prawdopodobie\u324?stwie wyst\u261?pienia i wadze zagro\u380?enia spoczywaj\u261? na podmiocie przetwarzaj\u261?cym (Og\u243?lne rozporz\u261?dzenie o ochronie danych osobowych Ustawa o ochronie danych osobowych Wybrane przepisy sektorowe. Komentarz pod red. P. Litwi\u324?skiego, Warszawa 2021, s. 164). Przedstawione rozwa\u380?ania uzasadniaj\u261? stwierdzenie, \u380?e w przypadku powierzenia przetwarzania danych podmiotowi przetwarzaj\u261?cemu egzekwowanie odpowiedzialno\u347?ci za naruszenia powsta\u322?e w procesie przetwarzania nie mo\u380?e nie bra\u263? pod uwag\u281? obowi\u261?zk\u243?w obu podmiot\u243?w uczestnicz\u261?cych w przetwarzaniu i nie uwzgl\u281?dnia\u263? ich indywidualnego przyczynienia si\u281? do powstania naruszenia. \u346?wiadcz\u261? o tym r\u243?wnie\u380? okre\u347?lone w rozporz\u261?dzeniu zasady nak\u322?adania administracyjnych kar pieni\u281?\u380?nych za naruszenie przepis\u243?w rozporz\u261?dzenia (art. 83). Tej odpowiedzialno\u347?ci administracyjnej podlegaj\u261? administrator danych i podmiot przetwarzaj\u261?cy. Jedna z dyrektyw nak\u322?adania tych kar stanowi, \u380?e podj\u281?cie decyzji o na\u322?o\u380?eniu kary i ustaleniu jej wysoko\u347?ci wymaga zwr\u243?cenia uwagi w ka\u380?dym indywidualnym przypadku na stopie\u324? odpowiedzialno\u347?ci administratora lub podmiotu przetwarzaj\u261?cego, z uwzgl\u281?dnieniem \u347?rodk\u243?w technicznych organizacyjnych wdro\u380?onych przez nich na mocy art. 25 i 32 (art. 83 ust. 2 lit. d)".
\par 
\par W zwi\u261?zku z tym za pozbawione podstaw uzna\u263? nale\u380?y zarzuty z punkt\u243?w 5.-8., kt\u243?rych istota wi\u261?\u380?e si\u281? z pr\u243?b\u261? uchylenia si\u281? przez administratora danych osobowych za naruszenie zasad ich przetwarzania i przyj\u281?cia za\u322?o\u380?enia, \u380?e odpowiedzialno\u347?\u263? ta spoczywa na gruncie okoliczno\u347?ci faktycznych niniejszej sprawy na podmiocie przetwarzaj\u261?cym. Naczelny S\u261?d Administracyjny stoi na stanowisku, \u380?e w zwi\u261?zku z powierzeniem funkcji podmiotu przetwarzaj\u261?cego dane osobowe podlegaj\u261?cemu jurysdykcji B. zachodzi pe\u322?na odpowiedzialno\u347?\u263? administratora danych osobowych, kt\u243?rym jest skar\u380?\u261?ca sp\u243?\u322?ka, a w konsekwencji rozwa\u380?anie, czy to administrator prowadzi\u322? procesy przetwarzania danych osobowych i czy mia\u322?o to miejsce bez podstawy prawnej w tym kontek\u347?cie nie ma znaczenia z punktu widzenia wymierzenia odpowiedzialno\u347?ci w zakresie administracyjnej kary pieni\u281?\u380?nej. Wyprowadzenie procesu przetwarzania danych osobowych poza kraje, w kt\u243?rych obowi\u261?zuj\u261? przepisy RODO, oraz na rzecz podmiotu, kt\u243?ry nie podlega jurysdykcji pa\u324?stwa cz\u322?onkowskiego UE, by\u322?o \u347?wiadomym dzia\u322?aniem administratora, st\u261?d dla zachowania realizacji praw podmiotowych os\u243?b podlegaj\u261?cych ochronie przepis\u243?w RODO i skuteczno\u347?ci tych przepis\u243?w konieczne jest przyj\u281?cie takiego stanowiska.
\par 
\par Zdaniem Naczelnego S\u261?du Administracyjnego uzasadnione s\u261? za\u347? zarzuty 9. i 10. Wyrok w rozpoznawanej sprawie nie odpowiada prawu, a w zwi\u261?zku z incydentem ujawnienia danych osobowych klient\u243?w [...] w likwidacji w W. przez podmiot przetwarzaj\u261?cy dane zachodzi potrzeba prowadzenia jednego post\u281?powania w odniesieniu do ca\u322?o\u347?ci zdarzenia naruszenia zasad przetwarzania danych osobowych. Sprawa powinna zosta\u263? rozpoznana ponownie, w jej ramach winno doj\u347?\u263? do po\u322?\u261?czenia w jedn\u261? spraw\u281? sprawy g\u322?\u243?wnej, w kt\u243?rej wydana zosta\u322?a przez Prezesa UODO decyzja z 17 grudnia 2020 r., pod sygn. DKN.5130.1354.2020.104813, jak r\u243?wnie\u380? wszystkich innych spraw prowadzonych w zwi\u261?zku ze skorzystaniem przez osoby, kt\u243?rych dane osobowe zosta\u322?y naruszone, ze \u347?rodka w postaci indywidualnej skargi do organu nadzoru. Osoby takie powinny uzyska\u263? status stron takiego post\u281?powania. W jego ramach winno doj\u347?\u263? do wyja\u347?nienia wszystkich istotnych okoliczno\u347?ci sprawy, jaki i zapewnienia praw procesowych stronom post\u281?powania, a nast\u281?pnie wydania decyzji orzekaj\u261?cej o konsekwencjach administracyjnoprawnych odnosz\u261?cych si\u281? do ca\u322?o\u347?ci incydentu.
\par 
\par W zwi\u261?zku z przyj\u281?ciem przez Naczelny S\u261?d Administracyjny takiego stanowiska rozpoznanie pozosta\u322?ych zarzut\u243?w by\u322?oby przedwczesne.
\par 
\par Maj\u261?c na wzgl\u281?dzie powy\u380?sze rozwa\u380?ania, Naczelny S\u261?d Administracyjny na podstawie art. 188 p.p.s.a. uchyli\u322? zaskar\u380?ony wyrok i uznaj\u261?c, \u380?e istota sprawy jest dostatecznie wyja\u347?niona rozpozna\u322? skarg\u281?.
\par 
\par Przedstawione wy\u380?ej przez Naczelny S\u261?d Administracyjny stanowisko, powoduje konieczno\u347?\u263? uchylenia zaskar\u380?onej decyzji na podstawie art. 145 \u167? 1 pkt 1 lit. a) i c) p.p.s.a. Rozstrzygni\u281?cie to ma charakter pochodny, ale jest tak\u380?e konsekwencj\u261? stwierdzenia, \u380?e w post\u281?powaniu przed organem nadzoru dosz\u322?o do naruszenia podstawowych zasad post\u281?powania wyja\u347?niaj\u261?cego, co wymaga ponownego jego przeprowadzenia. Konieczne jest bowiem po\u322?\u261?czenie niniejszej sprawy do wsp\u243?lnego rozpoznania ze spraw\u261?, w kt\u243?rej wydana zosta\u322?a decyzja z 17 grudnia 2020 r., pod sygn. DKN.5130.1354.2020.104813. Sprawy te powinny by\u263? prowadzone \u322?\u261?cznie ze wszystkimi sprawami zainicjowanymi skargami indywidualnymi, w tym ze sprawami, w kt\u243?rych skarg\u281? kasacyjn\u261? wnios\u322?a [...] w likwidacji w W. (sprawy, w kt\u243?rych Prezes UODO udzieli\u322? sp\u243?\u322?ce upomnienia).
\par 
\par O zwrocie koszt\u243?w post\u281?powania s\u261?dowego od Prezesa UODO na rzecz [...] w likwidacji w W. orzeczono na podstawie art. 203 pkt 1 p.p.s.a. w zw. z art. 205 \u167? 2 p.p.s.a.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}