Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Mirosław Wincenciak Sędziowie: Sędzia NSA Przemysław Szustakiewicz Sędzia del. WSA Maciej Kobak (sprawozdawca) Protokolant: asystent sędziego Marita Sukiennik-Sikora po rozpoznaniu w dniu 28 maja 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Miasta i Gminy O. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 27 sierpnia 2025 r. sygn. akt II SA/Wa 121/25 w sprawie ze skargi Miasta i Gminy O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 22 września 2020 r. nr ZSZZS.440.392.2019.ZS.JM w przedmiocie udzielenia upomnienia I. oddala skargę kasacyjną, II. zasądza od Miasta i Gminy O. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 360 (trzysta sześćdziesiąt) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 27 sierpnia 2025 r. (II SA/Wa 121/25) na podstawie art. 151 ustawy z 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi: (Dz.U. z 2024 r. poz. 935 ze zm.; dalej także: "p.p.s.a.") oddalił skargę Miasta i Gminy O. na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej także: "Prezes UODO", "PUODO") z 22 września 2020 r. w przedmiocie udzielenia upomnienia.

Rozstrzygnięcie to wydane zostało w oparciu o następujące okoliczności sprawy.

Na skutek skargi R. S. (dalej także: "uczestnik") na przetwarzanie jego danych osobowych przez Burmistrza Miasta i Gminy O. (dalej także: "Burmistrz"), w zakresie danych logowania do portalu społecznościowego Facebook oraz danych powiązanych z profilem uczestnika założonym na tym portalu, zostało wszczęte przez Prezesa UODO postępowanie administracyjne, który mocą decyzji z 22 września 2020 r. wydanej na podstawie art. 104 § 1 ustawy z 14 czerwca 1960 r. Kodeks postępowania administracyjnego oraz art. 5 ust. 1 lit. a, art. 6 ust. 1, art. 9 ust. 2 oraz art. 58 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE, L119, 4 maja 2016; dalej także: "RODO") w pkt 1 udzielił Burmistrzowi upomnienia za naruszenie art. 5 ust. 1, art. 6 ust. 1 oraz art. 9 ust. 1 RODO, polegającego na bezpodstawnym pozyskaniu danych osobowych uczestnika zawartych w korespondencji prowadzonej przez niego za pośrednictwem portalu społecznościowego Facebook; w pkt 2 natomiast odmówił uwzględnienia wniosku

w pozostałym zakresie.

W toku przeprowadzonego postępowania administracyjnego ustalono, że:

- uczestnik był zatrudniony w Urzędzie Miasta i Gminy w O. (dalej także: "Urząd") na stanowisku informatyka, w dniu 31 grudnia 2018 r. rozwiązano z nim umowę o pracę z zachowaniem trzymiesięcznego okresu wypowiedzenia, do wykonywania obowiązków służbowych powierzono mu komputer, zobowiązano go do jego zdania do 3 stycznia 2019 r.,

- uczestnik nie usunął z komputera służbowego konta synchronizacji zakładek i haseł, pozostał również zalogowany na koncie indywidualnym na portalu Facebook (tak: skarga z 3 lipca 2019 r.),

- w maju 2019 r. inny pracownik Urzędu, zwany dalej: "pracownikiem", przygotowywał używany uprzednio przez uczestnika komputer do przekazania kolejnej osobie; po uruchomieniu przeglądarki internetowej na przedmiotowym komputerze, ukazały mu się dwie, prowadzone na portalu Facebook, rozmowy z innymi pracownikami Urzędu tj. A. G. oraz J. Ż., zwaną dalej: "pracownikiem II"; dotyczyły one osoby A. P. – piastującej urząd Burmistrza; z uwagi na ich tematykę pracownik wydrukował przedmiotowe rozmowy - z okresu od listopada 2018 r. do maja 2019 r. - i przekazał Burmistrzowi (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.),

- pozyskane z korespondencji dane Burmistrz wykorzystał do wszczęcia postępowania dyscyplinarnego wobec pracownika II oraz karnych – co do tej samej osoby oraz uczestnika (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.);

- w Urzędzie nie prowadzono monitoringu pracowniczego (tak: wyjaśnienia Burmistrza z 26 marca 2020 r.).

Powołując się na art. 4 ust. 1 RODO organ stwierdził, że korespondencja uczestnika może stanowić jego dane osobowe. Zawarte w przedmiotowej korespondencji informacje pozwalały na identyfikację jej uczestników, w tym składającego skargę do PUODO. Organ uznał, że były tam zawarte zwykłe dane (ich przetwarzanie reguluje art. 6 ust. 1 RODO) oraz szczególne kategorie danych - np. informacje o wyznaniu uczestnika, a ich przetwarzanie jest - co do zasady, zgodnie z art. 9 ust. 1 RODO - zabronione, chyba że występuje jedna z przesłanek, wymienionych w art. 9 ust. 2 RODO.

Ponadto - w art. 5 ust. 1 RODO – nałożono na administratora obowiązek zapewnienia przetwarzania danych zgodnego z prawem (art. 5 ust. 1 lit. a), czy zapewnienia ograniczenia celu przetwarzania, przez zbieranie danych w konkretnych i prawnie uzasadnionych celach (art. 5 ust. 1 lit. b)). W ocenie organu, w przedmiotowej sprawie nie występowała żadna przesłanka dla pozyskania przez administratora danych osobowych uczestnika.

W konsekwencji organ stwierdził, że pozyskanie danych osobowych uczestnika nastąpiło z naruszeniem przepisów o ochronie danych osobowych i z tego powodu administratorowi udzielono upomnienia. Organ nie znalazł natomiast podstaw do skorzystania z uprawnień naprawczych - w zakresie usunięcia przez administratora danych osobowych uczestnika, ponieważ są one przetwarzane w związku z toczącymi się postępowaniami dyscyplinarnym i sądowym.

Decyzja organu została zaskarżona skargą przez Burmistrza do sądu administracyjnego, wnosząc o uchylenie jej pkt 1. Wyrokiem z 6 maja 2021 r. (II SA/Wa 2372/20) WSA w Warszawie na podstawie art. 145 § 1 pkt 1 lit. a oraz § 3 oraz art. 200 p.p.s.a., w pkt 1 uchylił zaskarżoną decyzję; w pkt 2 umorzył postępowanie prowadzone przez PUODO, a w pkt 3 sentencji wyroku zasądził od organu na rzecz skarżącego zwrot kosztów postępowania.

Wyrokiem z 16 stycznia 2025 r. (III OSK 6135/21) Naczelny Sąd Administracyjny, po rozpoznaniu skargi kasacyjnej PUODO, uchylił powyższy wyrok i przekazał sprawę do ponownego rozpoznania Sądowi pierwszej instancji. W uzasadnieniu NSA wskazał, że według art. 2 ust. 1 RODO, rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Z kolei, zgodnie z definicją legalną zamieszczoną w art. 4 pkt 2 RODO, "przetwarzanie'' oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W myśl art. 4 pkt 6 RODO, "zbiór danych'' oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

Sąd pierwszej instancji uznał, że skoro dotarcie - przy użyciu określonej platformy internetowej - do prowadzonej przez uczestnika prywatnej korespondencji - zapoznanie się z jej treścią przez pracownika Urzędu, a potem jej skopiowanie i wykorzystanie nastąpiło, w jego ocenie, w wyniku bezprawnej ingerencji w prawo do prywatności zainteresowanego, w tym naruszenia tajemnicy korespondencji. Poszkodowanemu przysługują stosowne roszczenia względem sprawcy naruszeń, których nie może rozstrzygać organ administracji.

W ocenie NSA, Sąd meriti uchylił się jednak od oceny, czy doszło do zebrania danych osobowych uczestnika w postaci tak danych logowania, jak i innych danych, do których Burmistrz miał dostęp już po zalogowaniu.

Sąd pierwszej instancji pominął przy tym, że w RODO, jego przepisie art. 4 pkt 1 zawarto szeroką definicję danych osobowych łącząc ją z wszelkimi informacjami (a nie tylko z danymi) o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą''); przy czym możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane logowania pozwalały zatem na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger. WSA w Warszawie nie dokonał w tym zakresie żadnej oceny. Przyjął, że przedmiotem decyzji była kwestia naruszenia prywatności - tajemnicy korespondencji – która podlega ochronie sądowej jako dobro osobiste i nie zwrócił tym samym uwagi, że sprawa dotyczyła węższego przedmiotu, tj. samego przetwarzania danych osobowych, które tylko częściowo mieszczą się w pojęciu tajemnicy korespondencji i jako taki - węższy - przedmiot zostały przypisane do właściwości PUODO.

Zdaniem NSA, Sąd a quo pominął także istotną dla rozpoznania sprawy okoliczność - z punktu widzenia jej przedmiotu w rozumieniu art. 2 ust. 1 RODO, a mianowicie moment pierwszego przetwarzania danych (jego wykorzystania), tzn. moment logowania do serwisu Facebook. Innymi słowy - moment wykorzystania danych uczestnika, który pozwolił na dalsze przetwarzanie jego danych osobowych i danych innych osób.

Niewłaściwie również Sąd pierwszej instancji wyłożył przepis art. 4 pkt 6 RODO. Także i w tej części przedwcześnie uznał, że w sprawie nie występuje ani zbiór danych osobowych, ani nie doszło do "zdarzeń związanych z przetwarzaniem informacji (gromadzenie, transfer itp.) gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach - ich danych osobowych – w szczególności w ramach systemów teleinformatycznych". Nie ocenił, czy organ właściwie ustalił, czy rzeczywiście w sprawie nie zachodzi co najmniej częściowe zautomatyzowanie przetwarzania danych osobowych choćby z tego powodu, że przetwarzanie na koncie Facebook i powiązanym komunikatorze Messenger odbywa się za pomocą urządzeń elektronicznych (w tym przypadku komputera), a zarówno na koncie, jak i w komunikatorze następuje informatyczny zapis danych (np. kontaktów, lokalizacji, danych osobowych zawartych w treści rozmów), również z możliwością ich późniejszego wyszukiwania (por. https://www.messenger.com/help, https://www.facebook.com/help?locale=pl_PL i zamieszczone na tych stronach przez operatora szczegółowe informacje dotyczące sposobu przetwarzania danych wraz z opisem poszczególnych funkcji konta i komunikatora).

NSA wskazał również, że z uzasadnienia zaskarżonego wyroku nie wynika, aby Sąd pierwszej instancji ocenił znaczenie dokonanych wydruków z konta Facebook w świetle uprzedniego przetwarzania danych osobowych w formie elektronicznej i zautomatyzowanej (tzn. przetwarzania od momentu użycia danych logowania do konta Facebook). Nie ustalił, czy dalsze utrwalenie tych danych w formie papierowej miało jakikolwiek wpływ na użycie danych osobowych uczestnika, które dopiero następczo dało taką możliwość (nie ustalił czy następcze przetwarzanie danych osobowych w sposób inny niż zautomatyzowany wyłączało sprawę spod zakresu przedmiotowego RODO wymienionego w art. 2 ust. 1 in principio - przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany – i czy ustalenie istnienia zbioru danych było w rezultacie w ogóle konieczne).

W tej sytuacji, bez powyższych ustaleń wymaganych hipotezą normy wynikającej z art. 2 ust. 1 RODO i w ramach oceny legalności zaskarżonej decyzji, WSA w Warszawie nie mógł uznać, że sprawa nie podlegała właściwości organu, o której mowa w art. 58 ust. 2 lit. b RODO, a w dalszej konsekwencji także i w art. 1 ust. 1 i art. 60 ustawy o ochronie danych osobowych, z tą uwagą, że adekwatność zastosowanego przez organ nadzoru środka tego nadzoru podlega ocenie na etapie późniejszym, po ustaleniu jego właściwości w sprawie.

NSA zauważył także, że tak pobieżna ocena właściwości organu mogłaby wyłączyć możliwość dokonywania kontroli przez organy ochrony danych sensytywnych, o którym mowa w art. 9 ust. 1 RODO, a jak wynika z akt sprawy i treści zaskarżonego do Sądu pierwszej instancji aktu administracyjnego również i takie dane mogły być w sprawie zebrane. Dlatego każdorazowo kontrolując zakażoną decyzję dotyczącą przetwarzania danych osobowych należy w sposób niebudzący wątpliwości ustalić, czy sprawa podpada pod zakres przedmiotowy określony w art. 2 ust. 1 RODO (art. 1 ust. 1 ustawy o ochronie danych osobowych), przy czym należy jednocześnie stosować wszystkie przepisy powiązane z treścią ww. przepisu, w szczególności przepisy zawierające definicje legalne art. 4 pkt 1, pkt 2 i pkt 6 RODO uwzględniając ich prawidłowe zastosowanie w konkretnym stanie faktycznym sprawy (prawidłową subsumpcję). Toteż, w niniejszej sprawie, przy istniejącym związaniu zarzutami skargi kasacyjnej, Sąd pierwszej instancji błędnie zastosował tak przepis art. 2 ust. 1, jak i przepis art. 4 pkt 6 RODO, co prowadziło także do naruszenia postawionych w zarzutach skargi kasacyjnej pozostałych przepisów – w tym przepisów ustawy o ochronie danych osobowych.

Rozpoznając ponownie sprawę, Sąd pierwszej instancji nie odnalazł podstaw do uwzględnienia skargi Burmistrza. Zwrócono uwagę na związanie WSA uprzednio wydanym przez NSA wyrokiem z 16 stycznia 2025 r. (III OSK 6135/21) i dokonanymi tam ocenami, ograniczając ramy kognicji tego sądu do wykładni prawa dokonanej w tej sprawie przez NSA (art. 190 p.p.s.a.)

W ocenie sądu, zgromadzony materiał dowodowy potwierdza, iż w sprawie doszło do zebrania danych osobowych uczestnika w postaci tak danych logowania, jak i innych danych, do których Burmistrz miał dostęp po zalogowaniu. Burmistrz posłużył się bowiem danymi logowania uczestnika, które zostały zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze i w ten sposób otworzył się dostęp do pozostałych danych na jego profilu, które co najmniej w części organ zebrał (pozyskał). Dane logowania pozwalały na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger.

W sprawie doszło także do dalszego utrwalenia tak pozyskanych danych w formie papierowej. Burmistrz dokonał bowiem wydruków rozmów z konta Facebook – komunikatora Messenger pomiędzy uczestnikiem, a innymi pracownikami Urzędu. Zdaniem sądu w świetle wskazanej wyżej definicji "zbioru danych'', nie może również budzić wątpliwości, iż doszło do zebrania w taki sposób danych osobowych uczestnika i przetwarzania tych danych, zawartych w korespondencji z innymi pracownikami Urzędu na portalu społecznościowym, stanowiących zbiór danych. Bez wątpienia są to informacje o zidentyfikowanej osobie fizycznej w rozumieniu art. 4 pkt 1 RODO. Są to również informacje uporządkowane i dostępne według określonych kryteriów, a więc podzielone i przyporządkowane takim identyfikatorom jak: nazwy użytkowników profilu, informacje zawarte w rozmowach użytkowników, daty.

Zdaniem sądu, skoro Burmistrz pozyskał i przetwarzał dane osobowe uczestnika to bezsporne jest, iż właściwy w tej sprawie pozostaje Prezes UODO. Nie może ujść uwadze, że ustawodawca unijny w art. 77 oraz w art. 79 RODO przewidział dwie drogi ochrony prawnej w przypadku naruszenia ochrony danych, tj. prawo wniesienia skargi do organu nadzorczego oraz prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu.

W konsekwencji wykładni powołanych przez Sąd meriti przepisów RODO, doszedł on do przekonania o prawidłowości oceny PUODO, iż brak jest podstaw by uznać, że dane osobowe uczestnika zostały pozyskane przez administratora w sposób zgodny z przepisami o ochronie danych osobowych. Właściwe zatem było nałożenie na Burmistrza kary upomnienia na podstawie art. 58 ust. 2 lit. b RODO, która jest karą najłagodniejszą, tym samym zaskarżona decyzja odpowiada prawu. Sąd nie dopatrzył się żadnego naruszenia przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy, bądź przepisu postępowania w stopniu mogącym mieć istotny wpływ na rozstrzygnięcie, albo też przepisu prawa dającego podstawę do wznowienia postępowania lub stwierdzenia nieważności. Organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, a następnie w przekonywujący sposób uzasadnił swoje rozstrzygnięcie. Postępowanie administracyjne zostało przeprowadzone zgodnie z zasadami ogólnymi K.p.a., a w szczególności art. 7, art. 77 § 1, art. 80 oraz art. 107 § 3 K.p.a., a zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego.

W skardze kasacyjnej, zaskarżając wyrok WSA w całości, Burmistrz zarzucił naruszenie przepisów prawa materialnego:

1. art 1 ust. 1 i art. 60 ustawy z 10 maja 2018 roku o ochronie danych osobowych w zw. z art. 2 ust. 1, art. 4 pkt. 3 i 6 RODO poprzez błędną jego wykładnię i przyjęcie rozszerzającej wykładni ochrony wynikającej z rozporządzenia RODO, podczas gdy RODO ma zastosowania do zdarzeń związanych z przetwarzaniem informacji, gdzie możliwe jest mechaniczne odnajdywanie informacji o osobach, w szczególności w systemach informatycznych. Nie ma natomiast zastosowania do zdarzeń pozostających w związku z ujawnieniem danych osobowych w innych sytuacjach - a więc w sytuacji objętej niniejszą sprawą, gdzie doszło do zapoznania się z treścią korespondencji prowadzonej drogą elektroniczną;

2. art. 4 pkt 2 RODO poprzez błędną jego wykładnię i przyjęcie, że w niniejszej sprawie doszło do przetwarzania, zebrania danych osobowych w postaci tak zwanych danych logowania, jak i innych danych do których Burmistrz miał dostęp po zalogowaniu, podczas gdy uczestnik pozostawił dane logowania na komputerze służbowym

i Burmistrz nie wyszukiwał ich celem ich przetwarzania;

3. art. 1 ust. 1, art. 2 ust. 1, art. 4 pkt 6 RODO poprzez jego błędną wykładnię

i niewłaściwe zastosowanie polegające na przyjęciu, że w niniejszej sprawie mają zastosowanie przepisy RODO, podczas gdy informacje zawarte w korespondencji uczestnika nie były przetwarzane w sposób całkowicie lub częściowo zautomatyzowany;

4. art. 4 pkt. 6 RODO poprzez jego błędną wykładnię i niewłaściwe zastosowanie polegające na uznaniu, że korespondencja uczestnika, która pojawiła się automatycznie po otworzeniu okna przeglądarki stanowiła zbiór danych;

5. art. 6 ust. 1 RODO poprzez jego błędne zastosowanie i przyjęcie, że brak było podstaw legalizujących przetwarzanie danych osobowych podczas, gdy w niniejszej sprawie nie miało miejsce przetwarzanie zgodnie z przepisami rozporządzenia RODO;

6. art. 6 ust. 1 RODO poprzez jego niewłaściwe zastosowanie i przyjęcie, że w sprawie nie występowała przesłanka określona w tym przepisie, podczas gdy art. 6 ust. 1 pkt d wskazuje o konieczności ochrony żywotnych interesów osoby, której dane dotyczą.

W oparciu o powyższe zarzuty, których rozwinięcie nastąpiło w uzasadnieniu skargi kasacyjnej, Burmistrz wniósł o uchylenie w całości zaskarżonego wyroku uwzględnienie skargi, jeżeli istota sprawy jest dostatecznie wyjaśniona lub też uchylenie wyroku w całości i przekazanie sprawy do ponownego rozpoznania, jeśli istota sprawy nie jest dostatecznie wyjaśniona, jednocześnie wnosząc o zasądzenie od organu zwrotu kosztów postępowania sądowego.

Ponadto w dalszym piśmie, skarżący kasacyjnie wniósł o rozpoznanie sprawy na rozprawie.

Odpowiadając na skargę kasacyjną Prezes UODO wniósł o jej oddalenie, podtrzymując dotychczasowe stanowisko.

Naczelny Sąd Administracyjny zważył, co następuje:

Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach złożonej skargi kasacyjnej, uwzględniając z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a., czy też żadna z przesłanek, wymienionych w art. 189 p.p.s.a., rozważanych przez Naczelny Sąd Administracyjny z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. Tym samym, to wskazane w treści skargi kasacyjnej przyczyny wadliwości prawnej zaskarżonego wyroku determinują zakres kontroli realizowanej przez NSA, który w odróżnieniu od Sądu pierwszej instancji nie bada całokształtu sprawy, lecz tylko weryfikuje zasadność zarzutów podniesionych w skardze kasacyjnej.

Skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu. W pierwszej kolejności trzeba przypomnieć, że zaskarżony wyrok Sądu pierwszej instancji został wydany w reżimie art. 190 p.p.s.a. Zgodnie z powołanym przepisem Sąd, któremu sprawa została przekazana, związany jest wykładnią prawa dokonaną w tej sprawie przez Naczelny Sąd Administracyjny. Nie można oprzeć skargi kasacyjnej od orzeczenia wydanego po ponownym rozpoznaniu sprawy na podstawach sprzecznych z wykładnią prawa ustaloną w tej sprawie przez Naczelny Sąd Administracyjny.

Uchylając wyrok WSA z 6 maja 2021 r. sygn. akt II SA/Wa 2372/20 wyrokiem z 16 stycznia 2025 r., III OSK 6135/21, Naczelny Sąd Administracyjny zwrócił uwagę, że Sąd pierwszej instancji uchylił się od oceny, czy doszło do zebrania danych osobowych uczestnika w postaci tak danych logowania, jak i innych danych, do których Burmistrz miał dostęp już po zalogowaniu. W sprawie nie jest sporne, że posługując się danymi logowania uczestnika, które zostały zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze uzyskano dostęp do pozostałych danych na jego profilu, które co najmniej w części organ również zebrał (pozyskał). Dane logowania pozwalały na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger. Naczelny Sąd Administracyjny wskazał, że w takim układzie sprawa może dotyczyć przetwarzania danych osobowych, a nie – jak uznał WSA – wyłącznie naruszenia tajemnicy korespondencji. NSA podkreślił także, że z perspektywy art. 2 ust. 1 RODO, nie oceniono należycie momentu pierwszego przetwarzania danych (jego wykorzystania), tzn. momentu logowania do serwisu Facebook. Innymi słowy - moment wykorzystania danych uczestnika, który pozwolił na dalsze przetwarzanie jego danych osobowych i danych innych osób. Dalej wytknięto, że w kontekście postanowień art. 4 pkt 6 RODO nie rozważono, czy organ właściwie ustalił, że w sprawie zachodzi co najmniej częściowe zautomatyzowanie przetwarzania danych osobowych choćby z tego powodu, że przetwarzanie na koncie Facebook i powiązanym komunikatorze Messenger odbywa się za pomocą urządzeń elektronicznych (w tym przypadku komputera), a zarówno na koncie, jak i w komunikatorze następuje informatyczny zapis danych (np. kontaktów, lokalizacji, danych osobowych zawartych w treści rozmów), również z możliwością ich późniejszego wyszukiwania (por. https://www.messenger.com/help, https://www.facebook.com/help?locale=pl_PL i zamieszczone na tych stronach przez operatora szczegółowe informacje dotyczące sposobu przetwarzania danych wraz z opisem poszczególnych funkcji konta i komunikatora). Nie rozważono również należycie znaczenia dokonanych wydruków z konta Facebook w świetle uprzedniego przetwarzania danych osobowych w formie elektronicznej i zautomatyzowanej (tzn. przetwarzania od momentu użycia danych logowania do konta Facebook). WSA nie ustalił, czy dalsze utrwalenie tych danych w formie papierowej miało jakikolwiek wpływ na użycie danych osobowych uczestnika, które dopiero następczo dało taką możliwość (nie ustalił czy następcze przetwarzanie danych osobowych w sposób inny niż zautomatyzowany wyłączało sprawę spod zakresu przedmiotowego RODO wymienionego w art. 2 ust. 1 in principio - przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany - i czy ustalenie istnienia zbioru danych było w rezultacie w ogóle konieczne).

Mając na uwadze przyjęty zakres związania Sądu pierwszej instancji wykładnią prawa dokonaną przez NSA w wyroku z 16 stycznia 2025 r., III OSK 6135/21 nie można przyjąć, iż podniesione w skardze kasacyjnej zarzuty są uzasadnione.

W ramach zarzutu naruszenia art 1 ust. 1 i art. 60 ustawy z 10 maja 2018 r. o ochronie danych osobowych w zw. z art. 2 ust. 1, art. 4 pkt. 3 i 6 RODO skarżący kasacyjnie powołuje się na oceny prawne wyrażone przez WSA w wyroku z 6 maja 2021 r., sygn. akt II SA/Wa 2372/20. Przedmiotowy wyrok został uchylony, właśnie

z tego powodu, że powołane w nim oceny prawne były nieprawidłowe albo co najmniej przedwczesne. Skarżący kasacyjnie twierdzi, że w sprawie nie doszło do przetwarzania danych osobowych, a wyłącznie do ich ujawnienia. Z jednej strony przyznaje wprost, że na komputerze pracownika znajdowały się dane prywatne, z drugiej zaś eksponuje, że nie doszło do ich przetworzenia. Zdaniem skarżącego kasacyjnie prywatne konto pracownika wyświetliło się automatycznie, albowiem pozostawił on na nim swoje dane logowania. Odnosząc się do przedmiotowej kwestii trzeba podać, po pierwsze, że w chwili zdania komputera służbowego przez pracownika, skarżący kasacyjnie przed przekazaniem go innemu pracownikowi miał obowiązek zweryfikować jego zawartość i usunąć wszelkie dane osobowe byłego pracownika, tak aby pracownik, który będzie z niego następczo korzystał nie miał do nich dostępu. Po drugie, sam fakt pozostawienia danych logowania do serwisu społecznościowego Facebook per se nie ujawniał wszystkich innych (pozostałych) informacji znajdujących się na tym serwisie i powiązanym z nim kontem Messenger. Skarżący kasacyjnie poprzez dostęp do danych logowania uzyskał dostęp do dalszych danych, które z uwagi na identyfikowalność osób których dotyczą stanowiły dane osobowe. Twierdzenia skarżącego kasacyjnie, że samo uruchomienie komputera i przeglądarki, niejako automatycznie ujawniło na ekranie rozmowy pracownika z innymi pracownikami z okresu od listopada 2018 r. do maja 2019 r. nie znalazły potwierdzenia w materiale aktowym. Sąd pierwszej instancji trafnie podał, że skarżący kasacyjnie posłużył się danymi logowania uczestnika, które zostały zapisane w przeglądarce internetowej na pozostawionym przez niego komputerze i w ten sposób otworzył się dostęp do pozostałych danych na jego profilu, które co najmniej w części organ zebrał (pozyskał). Dane logowania pozwalały na wejście do profilu konkretnej osoby fizycznej (identyfikując ją) i umożliwiały przeglądanie, zbieranie, pobieranie i wykorzystywanie nie tylko jej danych, ale również danych innych osób, zważywszy, że zalogowanie pozwalało na przeglądanie całej treści utrwalonych rozmów (w tym danych osobowych) w aplikacji powiązanej z kontem na Facebooku, czyli w aplikacji/komunikatorze Messenger. Przedmiotowe dane stanowią dane osobowe w rozumieniu art. 4 pkt 1 RODO. Zgodnie z jego treścią "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową społeczną tożsamość osoby fizycznej.

Poprzez zebranie/pozyskanie/przeglądanie tych danych, jak również poprzez wydrukowanie części z nich i wykorzystanie niewątpliwie doszło do przetworzenia danych osobowych w rozumieniu art. 4 pkt 2 RODO. W myśl powołanego przepisu "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Z tego względu zarzut naruszenia art. 4 pkt 2 RODO nie podlegał uwzględnieniu.

W skardze kasacyjnej zupełnie nie odniesiono się do zaaprobowanej przez WSA oceny, że w sprawie możliwe było co najmniej częściowe zautomatyzowanie przetwarzania danych osobowych, gdyż przetwarzanie na koncie Facebook i powiązanym komunikatorze Messenger odbywa się za pomocą urządzeń elektronicznych (w tym przypadku komputera), a zarówno na koncie, jak i w komunikatorze następuje informatyczny zapis danych (np. kontaktów, lokalizacji, danych osobowych zawartych w treści rozmów), również z możliwością ich późniejszego wyszukiwania (por. https://www.messenger.com/help, https://www.facebook.com/help?locale=pl_PL i zamieszczone na tych stronach przez operatora szczegółowe informacje dotyczące sposobu przetwarzania danych wraz z opisem poszczególnych funkcji konta i komunikatora). W związku z powyższym podnoszona w skardze kasacyjnej argumentacja, że przetwarzanie miało charakter mechaniczny, nie może odnieść oczekiwanych skutków procesowych – zarzut naruszenia art. 1 ust. 1, art. 2 ust. 1, art. 4 pkt 6 RODO.

Nie można się również zgodzić, że okoliczności sprawy nie dawały podstawy do stosowania przepisów RODO, albowiem nie zostały zrealizowane przesłanki z art. 2 ust. 1 RODO. Jak stanowi powołany przepis rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych. Przywołany art. 2 ust. 1 RODO przez użyte w jego treści pojęcie "zbiór danych" ściśle łączy się z przepisem art. 4 pkt 6 RODO, w którym prawodawca europejski zamieścił definicję legalną tego właśnie pojęcia. W myśl art. 4 pkt 6 RODO, "zbiór danych" oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

W realiach niniejszej sprawy, wobec niepodważenia przez skarżącego kasacyjnie, że w sprawie miało miejsce co najmniej częściowo automatyczne przetwarzanie danych osobowych, kwestia ujęcia ich w "zbiór danych" nie ma znaczenia, albowiem częściowo zautomatyzowane przetwarzanie danych osobowych, niezależnie od tego czy znajdują się one w zbiorze danych, zawsze pociąga za sobą stosowania przepisów RODO – art. 2 ust. 1 RODO. Z wyłożonych względów negatywnej weryfikacji podlegały również zarzuty naruszenia art. 4 pkt 6 i art. 6 ust. 1 RODO.

Uwzględniając całość powyższego Naczelny Sąd Administracyjny w oparciu o art. 184 p.p.s.a. oddalił skargę kasacyjną.

O kosztach postępowania kasacyjnego orzeczono na podstawie art. 204 pkt 1 i art. 205 § 2 p.p.s.a.