Centralna Baza Orzeczeń Sądów Administracyjnych

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Wojciech Jakimowicz (sprawozdawca) Sędziowie: Sędzia NSA Olga Żurawska-Matusiak Sędzia del. WSA Hanna Knysiak-Sudyka Protokolant: starszy asystent sędziego Aleksandra Kraus po rozpoznaniu w dniu 6 marca 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej S. S.A. z siedzibą w W. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 w sprawie ze skargi S. S.A. z siedzibą w W. na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r. nr DKN.5131.33.2021 w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od S. S.A. z siedzibą w W. na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 5400 (pięć tysięcy czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oddalił skargę S. S.A. z siedzibą w W. (dalej także jako: Bank) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako: organ) z dnia 19 stycznia 2022 r. nr DKN.5131.33.2021 w przedmiocie przetwarzania danych osobowych.

Wyrok ten zapadł w następującym stanie faktycznym i prawnym sprawy:

Decyzją z dnia 19 stycznia 2022 r. nr DKN.5131.33.2021 Prezes Urzędu Ochrony Danych osobowych, na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego, art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy o ochronie danych osobowych w związku z art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. e oraz lit. i, at. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a w związku z art. 34 ust. 1, ust. 2 i ust. 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); dalej jako: "RODO", po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Bank, w punkcie 1 stwierdzając naruszenie przez Bank przepisów art. 34 ust. 1 RODO polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, nałożył na Bank administracyjną karę pieniężną w wysokości 545 748 PLN, w punkcie 2 nakazał Bankowi zawiadomienie – w terminie 3 dni od dnia doręczenia niniejszej decyzji – osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, tj. wszystkich pracowników Banku, którzy byli zatrudnieni w okresie, w którym były pracownik Banku posiadał nieuprawniony dostęp do danych zgromadzonych w Platformie Usług Elektronicznych ZUS (PUE ZUS) w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:

a) opisu charakteru naruszenia ochrony danych osobowych;

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celi zminimalizowania jego ewentualnych negatywnych skutków.

W uzasadnieniu decyzji organ wyjaśnił na wstępie, że postępowanie administracyjne przed Prezesem Urzędu Ochrony Danych Osobowych zainicjowało zgłoszenie naruszenia ochrony danych dokonane przez Bank informujące o naruszeniu ochrony danych osobowych 10 500 osób. Jak podano, naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika S. S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Organ prowadząc postępowanie ustalił, że ów były pracownik Banku korzystał ze swoich uprawnień i logował się pięciokrotnie do platformy PUE ZUS (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Organ nie ustalał zaś obszarów, które były przeglądane przez nieuprawnioną osobę ani tego, do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika S. S.A. na platformie PUE ZUS.

Jednocześnie organ ustalił też, że Bank zrezygnował z powiadamiania o naruszeniu osób, których dane dotyczą uznając, iż cyt.: "w trakcie zatrudnienia pracownik miał dostęp do znacznie szerszego katalogu danych pracowniczych, co związane było z pełnieniem funkcji kierowniczej w Departamencie [...]".

Organ przywołał art. 4 pkt 12 rozporządzenia 2016/679, w myśl którego "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Z kolei zgodnie z art. 34 ust. 1 RODO w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu (czego w niniejszej sprawie nie uczyniono, naruszając tym samym ww. przepis). Organ zaznaczył, że administrator powinien zrealizować ten obowiązek możliwie jak najszybciej, a zawiadomienie to musi czynić zadość zasadzie przejrzystości, tzn. powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych (np. przedstawiać okoliczności wystąpienia naruszenia wraz z opisem kategorii danych, które uległy naruszeniu) oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO. Organ dodał, że innym elementem informacji przekazywanej osobom, których dane dotyczą jest opis charakteru naruszenia. Organ podkreślił, że opis powinien być na tyle szczegółowy i jasny, aby osoby, do których kierowane jest zawiadomienie, mogły zrozumieć co się stało z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza. Organ zaznaczył, że zbyt lakoniczna informacja nie spełnia tej funkcji, a tym samym nie pozwala osobom na właściwe zastosowanie się do wskazówek administratora. Jak wskazał organ oprócz ww. opisu charakteru naruszenia, w zawiadomieniu skierowanym do osób, których dane dotyczą, administrator powinien ponadto jasnym i prostym językiem przekazać co najmniej następujące informacje: imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym w stosowanych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ wyjaśnił, że właściwe wywiązanie się z obowiązku określonego w art. 34 RODO ma zapewnić osobom, których dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ zaznaczył, że zgłaszanie naruszeń ochrony danych osobowych przez administratora stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Podkreślił także, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia.

Następnie organ przypomniał, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, dotyczyło naruszenia ochrony danych osobowych polegającego na posiadaniu przez byłego pracownika Banku nieuprawnionego dostępu do Platformy Usług Elektronicznych ZUS, co skutkowało możliwością przeglądania znajdujących się na tejże platformie danych pracowników Banku w zakresie ich imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, powodując w konsekwencji wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Organ przywołał wskazania Grupy Roboczej Art. 29 (tj. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., zastąpiona zgodnie z art. 68 rozporządzenia 2016/679 Europejską Radą Ochrony Danych Osobowych, która podczas pierwszego posiedzenia plenarnego EROD zatwierdziła m.in. niżej przywołane wytyczne) WP250, w których podano: "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia".

W ocenie organu nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania lub pobytu, czy informacjami o zwolnieniach lekarskich, tj. danymi dotyczącymi zdrowia, mogą wystąpić w omawianym przypadku. W konsekwencji, jak wyjaśnił organ, oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 RODO, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 RODO.

Ustosunkowując się do wyjaśnień Banku, iż byłego pracownika potraktował jako "odbiorcę zaufanego", bowiem był wieloletnim pracownikiem Banku i przed ustaniem zatrudnienia piastował stanowisko kierownicze w Zespole [...], w związku z czym miał dostęp do danych osobowych pozostałych pracowników przetwarzanych przez Bank w celach kadrowo-płacowych, czym argumentowano brak zawiadomienia o naruszeniu osób, których dane dotyczą, organ wyjaśnił, że odbiorca zaufany to odbiorca, któremu administrator może ufać na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia - fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca.

Organ podkreślił, że status odbiorcy zaufanego posiadają podmioty, które działają w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy podmiotami istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. W przypadku takiego odbiorcy administrator może przyjąć domniemanie, że zna on obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się w odpowiedni sposób. W przedmiotowej sprawie, zdaniem organu, nie występował odbiorca zaufany, wobec czego Bank powinien był zachować się w sposób bardziej ostrożny w przypadku ujawnienia danych osobie nieuprawnionej, a więc zawiadomić o naruszeniu ochrony danych osobowych osoby, których dane dotyczą, zakładając, że naruszenie może wywołać szersze skutki. Zdaniem organu nie można bowiem ponad wszelką wątpliwość uznać, iż były pracownik zachowa się w odpowiedni sposób.

W ocenie organu o braku zaufania musi świadczyć sam fakt zalogowania się do systemu w przypadku braku uprawnień. Organ podkreślił, że regulacje prawne, w tym obowiązki związane z zachowaniem tajemnicy (upoważnienie do przetwarzania danych osobowych w imieniu Banku, oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności) nie gwarantują osobie, której dane dotyczą, stuprocentowej pewności oraz ochrony przez zmaterializowaniem się negatywnych skutków, bowiem kluczowym czynnikiem są stosunki, w jakich pozostają podmioty. Jak wskazał organ, relację tę definiuje Grupa Robocza Art. 29 w ww. Wytycznych, w których to zawarte zostało pojęcie "zaufanego odbiorcy". Organ dodał, że osoba, która posiadała nieuprawniony dostęp do danych osobowych pracowników Banku, aktualnie nie jest związana z Bankiem stosunkiem pracy, nie łączą ich też jakiekolwiek inne relacje biznesowe, a zatem przedstawione powyżej okoliczności i tak nie mają na gruncie przedmiotowej sprawy żadnego znaczenia.

Następnie organ wskazał, że ustanie zatrudnienia jest równoznaczne z zerwaniem dotychczasowej więzi prawnej miedzy stronami stosunku pracy i zobowiązaniem strony do "rozliczenia się" z wzajemnych obowiązków wynikających z zakończonej umowy i podkreślił, że w chwili ustania stosunku pracy przestaje obowiązywać zasada wyrażona w art. 100 § 2 Kodeksu pracy, tj. zasada szczególnej lojalności pracownika względem pracodawcy wyrażająca się chociażby w obowiązku dbania o dobro zakładu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Rozumiany w ten sposób obowiązek dochowania lojalności wynika z samego faktu nawiązania stosunku pracy i wiąże strony przez cały okres jego trwania, aż do momentu, w którym ustaje. Organ podkreślił, że o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale [...], posiadanie upoważnienia do przetwarzania danych osobowych w imieniu Banku) może wskazywać na duże doświadczenie i wiedzę podmiotu nieuprawnionego, o tyle fakt, że logowania do platformy PUE ZUS miały miejsce już po ustaniu stosunku pracy, częstotliwość tych logowań i odstępy czasu pomiędzy poszczególnymi logowaniami, wskazują według organu na działanie celowe, a nie przypadkowe byłego pracownika Banku - w żadnym razie zatem nie uzasadniają posiadanego zaufania pracodawcy do byłego pracownika. Co więcej, organ dodał, że z przeprowadzonych czynności wyjaśniających przez Bank oraz z uzyskanej z ZUS informacji na temat logowania do platformy PUE ZUS, załączonej jako dowód w formie korespondencji mailowej do wyjaśnień Banku wynika, że dwie inne osoby, jak można przypuszczać również byłe pracownice Banku, które również posiadały nieuprawniony dostęp do platformy, w ogóle się do niej nie logowały, co jedynie potwierdza umyślność i brak przypadkowości działań osoby, której dotyczy przedmiotowy incydent.

Odnosząc się do kolejnego argumentu Banku uzasadniającego niezawiadomienie o naruszeniu osób, których dane dotyczą, tj. brak precyzyjnie określonego obszaru danych i kręgu pracowników, których dane dotyczą, co nie pozwala na identyfikację zagrożenia, organ uznał, że są one niezrozumiałe, bowiem równocześnie Bank powołuje się na fakt dokonania wewnętrznej weryfikacji dostępu do platformy PUE ZUS, w wyniku której ustalono, że zakres danych dostępny do wglądu pracownikowi posiadającemu upoważnienie do przetwarzania danych osobowych jest identyczny do tego, który wskazał były pracownik w wiadomości informującej o nieuprawnionym dostępie, co wskazuje na to, że były pracownik miał dostęp do takich samych kategorii danych przetwarzanych w ramach platformy PUE ZUS, jak osoba zatrudniona, mianowicie do danych w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z zaświadczeń e-ZLA, tj. dane dotyczące zdrowia. Organ stwierdził, że dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Zdaniem organu, imię i nazwisko wraz z adresem zamieszkania lub pobytu oraz numerem ewidencyjnym PESEL mogą zostać wykorzystane przez nieuprawnione osoby m.in do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie pożyczek w instytucjach pozabankowych.

Organ dodał, że w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - że wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. Stąd sam fakt braku precyzyjnie określonego kręgu pracowników, których naruszenie dotyczy, nie stanowi w ocenie organu przeszkody dla realizacji obowiązku wynikającego z art. 34 RODO, choćby dlatego, że formą przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, biorąc pod uwagę brak precyzyjnie określonego kręgu podmiotów, których naruszenie dotyczyło, może być według organu komunikat publiczny, np. zamieszczony w Intranecie. Organ dodał, że administrator danych nie musi ograniczać się wyłącznie do jednej formy zawiadomienia, ale może wykorzystać w każdym indywidualnym przypadku taką formę, która jest w stanie zapewnić skuteczne zawiadomienie osób fizycznych o wystąpieniu naruszenia. Komunikat na stronie internetowej powinien być widoczny bezpośrednio na stronie internetowej, bez konieczności otwierania dodatkowych podstron.

Organ zauważył, że jak wynika z korespondencji przesłanej przez Bank, odnoszącej się do zamieszczonego przez niego w Intranecie komunikatu, tego typu treści są publikowane na platformie komunikacji wewnętrznej Banku. Jednak opublikowana w Intranecie informacja w gruncie rzeczy nie odnosi się do przedmiotowego naruszenia ochrony danych osobowych, bowiem stanowi jedynie ogólną informację, jakich z całą pewnością wiele na platformie komunikacji wewnętrznej Banku, na temat rodzaju naruszenia ochrony danych osobowych, jakim może być dostęp osoby nieuprawnionej do danych osobowych pracowników, jego możliwych konsekwencjach czy środkach zaradczych. W związku z powyższym, w ocenie organu, informacja ta nie jest w żadnym wypadku równoznaczna z wypełnieniem obowiązku, o którym mowa w art. 34 ust. 1 RODO. Organ zauważył, że z treści komunikatu nie wynika, aby dotyczył on konkretnego naruszenia, a zatem osoby, których dane dotyczą, nie miały żadnych powodów, by potraktować go jako odnoszący się do nich i odpowiednio zareagować. Organ dodał ponadto, że komunikat został skierowany jedynie do obecnych pracowników Banku, jako korzystających z platformy komunikacji wewnętrznej, natomiast zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

Odnosząc się do wskazanych przez Bank w piśmie z dnia 22 lipca 2021 r. wniosków dowodowych na podstawie art. 78 § 1 Kodeksu postępowania administracyjnego, tj.:

1) przeprowadzenia dowodu z zeznań świadka J.S. na okoliczność korzystania z dostępu do platformy PUE ZUS oraz celem ustalenia, czy były pracownik Banku zapoznawał się z danymi osobowymi na platformie PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a jeżeli tak, to w jakim zakresie; ewentualnie: zwrócenie się przez organ do J.S. celem uzyskania informacji na piśmie, czy jako były pracownik Banku zapoznawała się z danymi osobowymi na platformie PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a jeżeli tak, to w jakim zakresie;

2) zobowiązania operatora platformy PUE ZUS, tj. Zakład Ubezpieczeń Społecznych, do przedstawienia logów i wszelkich zapisów sytemu informatycznego - platformy PUE ZUS - celem ustalenia, z jakimi danymi osobowymi J.S. zapoznawała się w ramach dostępu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r. do dnia odebrania pracownikowi uprawnień w PUE ZUS, tj. do dnia 4 lutego 2021 r.;

3) przeprowadzenia dowodu z opinii biegłego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi J.S. zapoznawała się w ramach dostępu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r. do dnia odebrania pracownikowi uprawnień w PUE ZUS, tj. do dnia 4 lutego 2021 r.;

organ uznał je za nieistotne, gdyż dotyczą okoliczności niemających znaczenia dla sprawy, bowiem dla zaistnienia obowiązku z art. 34 ust. 1 RODO ważne jest już samo ryzyko nieuprawnionego dostępu, które w przedmiotowej sprawie wystąpiło, a co zostało wielokrotnie wykazane w niniejszej decyzji. W ocenie organu, zgromadzony w sprawie materiał dowodowy jest wystarczający do rozstrzygnięcia sprawy, a okoliczności będące przedmiotem dowodu nie mają znaczenia dla spawy, z kolei organ nie ma obowiązku uwzględniania wszystkich wniosków strony.

Następnie organ zwrócił uwagę na to, że zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Organ wyjaśnił, że art. 34 ust. 1 i 2 RODO ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a RODO. Właściwe wywiązanie się z obowiązku określonego w art. 34 RODO ma zapewnić osobom, których dane dotyczą - szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 RODO, z którego to obowiązku Bank nie wywiązał się. Podkreślono, że stosując przepisy RODO, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

W konsekwencji organ stwierdził, że Bank nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tego przepisu.

Wymierzając administracyjną karę pieniężną Bankowi organ wskazał, że brał pod uwagę:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) i uznał, że stwierdzone w niniejszej sprawie naruszenie, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Nie bez znaczenia według organu pozostaje również długi czas trwania tego naruszenia. Od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych, generującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym skutkującego koniecznością zawiadomienia o naruszeniu osób, których dane dotyczą tj. 4 lutego 2021 r. do dnia wydania niniejszej decyzji upłynęło 11 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku powiadomienia osób, których dane dotyczą, o naruszeniu. Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane 10 500 osób, a pomimo iż w niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba nieuprawniona, doznały szkody majątkowej, to już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przez utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową;

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO) i uznał, że Bank podjął świadomą decyzję, by nie zawiadamiać osób, których dane dotyczą i nie ulega wątpliwości, że Bank przetwarzając dane osobowe na masową skalę, ma wysoki poziom wiedzy w zakresie ochrony danych osobowych, obejmujący wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkujących ryzkiem naruszenia praw lub wolności osób fizycznych. Mając taką wiedzę, po dokonaniu analizy ryzyka, Bank podjął świadomą decyzję o rezygnacji z powiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Wola ta, w ocenie organu. ujawniona została i konsekwentnie podtrzymywana przez Bank w postępowaniu przed organem, w trakcie którego Prezes Urzędu Ochrony Danych Osobowych w pierwszej kolejności informował Bank o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych i o możliwości wystąpienia w sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. W końcu samo wszczęcie przez organ niniejszego postępowania w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Bankowi co najmniej wątpliwości co do własnej oceny skutków naruszenia.

3. Stosowne wcześniejsze naruszenia przepisów RODO ze strony administratora i organ przywołał decyzje z dnia 17 grudnia 2020 r. i z dnia 22 kwietnia 2021 r. o udzieleniu Bankowi upomnienia;

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) i wskazał, że w niniejszej sprawie uznał za niezadowalającą współpracę ze strony Banku i wyjaśnił, że ocena ta dotyczy reakcji Banku na pisma Prezesa Urzędu Ochrony Danych Osobowych informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie organu działania, które mogłyby spowodować brak negatywnych konsekwencji dla praw danych osób lub bardziej ograniczony wpływ tych konsekwencji niż mogłoby to mieć miejsce, nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa Urzędu Ochrony Danych Osobowych postępowania administracyjnego w sprawie;

5. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g RODO) i wyjaśnił, że dane osobowe, do których możliwy dostęp uzyskała osoba nieuprawniona, a których dotyczyło zgłoszone przez Bank naruszenie ochrony danych osobowych, (generujące wysokie ryzyko naruszenia praw lub wolności osób fizycznych, związane z koniecznością powiadomienia o naruszeniu osób, których dane dotyczą), stanowią szeroki zakres (imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL), a ponadto należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, bowiem wśród nich znajdują się dane dotyczące zdrowia (informacje o zwolnieniach lekarskich), co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Organ podkreślił, że niepowiadomienie osób, których dane dotyczą, o naruszeniu poufności ich danych osobowych, musi być oceniane surowiej gdy dotyczy danych osobowych szczególnej kategorii.

Organ dodał, że żadnego wpływu na fakt zastosowania przez organ w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 RODO okoliczności.

Konkludując organ uznał, że zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. Organ wyjaśnił, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank, profesjonalnie i na skalę masową przetwarzający dane osobowe, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. W ocenie organu, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Bank przepisów RODO. Będzie również spełniać funkcję prewencyjną, bowiem wskaże zarówno Bankowi, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ich ograniczenie.

Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż jest ona proporcjonalna do sytuacji finansowej Banku i nie będzie stanowiła dla niego nadmiernego obciążenia. Organ wyjaśnił, że z przesłanego "Raportu Rocznego S. S.A. za 2020 rok" wynika, że przychody z działalności Banku w 2020 roku wyniosły ok. 5 mld zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,011 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jednocześnie organ podkreślił, że kwota nałożonej kary (545 748,00 zł) to jedynie 1,2 % maksymalnej wysokości kary, którą Prezes Urzędu Ochrony Danych Osobowych mógł - stosując zgodnie z art. 83 ust. 4 RODO próg 2% liczony od całkowitego rocznego obrotu - nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia. Wysokość kary została bowiem, jak wyjaśnił organ, określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Banku. Zdaniem organu, Bank powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Banku, przesłane do organu w dniu 26 lipca 2021 r.

W piśmie z dnia 22 lutego 2022 r. Bank wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na powyższą decyzję organu i wnosząc o jej uchylenie w całości i zasądzenie na rzecz skarżącego kosztów postępowania, w tym kosztów zastępstwa radcy prawnego według norm przepisanych, zarzucił naruszenie:

1. art. 34 ust. 1 RODO, poprzez niewłaściwe zastosowanie i uznanie, że Bank nie dokonał zawiadomienia osób w trybie ww. normy bez zbędnej zwłoki, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczności co do zakresu danych osobowych, do których miał dostęp były pracownik Banku oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie postępowania dowodowego że były pracownik Banku zgłaszając samodzielnie nieprawidłowość, mógłby wykorzystać w sposób bezprawny dostęp do danych osobowych pracowników skarżącego. Bank podał, że działał w oparciu o wyjątek przedstawiony w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO, WP250 rev.O1 - wydanymi przez Grupę Roboczą art. 29 - administrator w określonych sytuacjach może uznać nieuprawnionego odbiorcę danych za "zaufanego". Administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W tym kontekście Bank podniósł, że osoba nieuprawniona do dostępu do danych w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r. była wieloletnim pracownikiem działu [...], której obowiązki zawodowe związane były m.in. z pracą na danych osobowych w systemie PUE ZUS. Były pracownik Banku był zobowiązany do zachowania tajemnicy i poufności danych osobowych bezterminowo. Ponadto, były pracownik Banku był upoważniony do przetwarzania danych osobowych w imieniu Banku i złożył stosowne oświadczenie, że zapoznał się z zasadami postępowania z danymi osobowymi w B. S.A., rozumie je i wyraża zgodę na ich przestrzeganie. Byłemu pracownikowi Banku, zgodnie z obowiązującymi w Banku regułami, udzielono na podstawie art. 29 RODO upoważnienia do przetwarzania danych osobowych w celach związanych z wykonywaniem obowiązków na zajmowanym stanowisku oraz do obsługi systemu informatycznego i urządzeń wchodzących w jego skład. Upoważnienie udzielono wyłącznie w zakresie wynikającym z zadań służbowych oraz poleceń służbowych wynikających z realizacji zawartego stosunku umownego. Upoważnienie obejmowało uprawnienie do przetwarzania danych osobowych gromadzonych i przetwarzanych w formie papierowej i elektronicznej, zobowiązywało do zachowania poufności danych i traciło ważność z chwilą jego cofnięcia lub ustania stosunku umownego wiążącego upoważnionego z Bankiem. Bank zaznaczył, że wygaśnięcie upoważnienia nie zwalnia z zachowania przez upoważnionego poufności informacji. Bank zaznaczył, że to były pracownik Banku samodzielnie zgłosił nieuprawniony dostęp, o czym powziął wiedzę logując się do PUE ZUS w ramach wykonywania obowiązków pracowniczych na rzecz innego podmiotu – nowego pracodawcy. W ocenie Banku trudno zatem aprobować pogląd organu, który sprowadza się do uznania, że nieuprawniony odbiorca jest zainteresowany wyrządzeniem szkody podmiotom danych, tj. podjęcia takich działań, które przesądzają, że zachodzi wysokie ryzyko naruszenia praw i wolności pracowników Banku;

2. art. 34 ust. 4 RODO poprzez uznanie, że wystarczające jest samo wystąpienie ryzyka naruszenia praw i wolności, podczas gdy niezbędne jest, aby takie prawdopodobieństwo wystąpienia dotyczyły wysokiego ryzyka;

3. art. 83 ust. 1 w zw. z art. 83 ust. 2 RODO polegające na wymierzeniu Bankowi pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie, że zaistniał obowiązek informacyjny, gdyż naruszenie miało znaczną wagę i poważny charakter, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczności co do zakresu danych osobowych, do których miał dostęp były pracownik skarżącego oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie postępowania dowodowego, że były pracownik zgłaszając samodzielnie nieprawidłowość, mógłby wykorzystać w sposób bezprawny dostęp do danych osobowych pracowników Banku;

4. naruszenie art. 83 ust. 1-3, art. 83 ust. 4 lit. a w związku z art. 58 ust. 2 lit. i RODO, poprzez niewłaściwe zastosowanie i wymierzenie Bankowi pieniężnej kary administracyjnej w kwocie 545.748 zł, w sytuacji kiedy, zebrany w sprawie materiał dowodowy jest niepełny - w szczególności brak stanowiska operatora portalu PUE ZUS - Zakład Ubezpieczeń Społecznych co do logów i wszelkich zapisów systemu informatycznego - platformy PUE ZUS - nie daje podstaw do jednoznacznego stwierdzenia, że Bank dopuścił się naruszenia art. 34 ust. 1 RODO, których naruszenie skutkowałoby zasadnością nałożenia sankcji finansowej na Bank;

5. art. 83 ust. 1 w związku z art. 83 ust. 2 lit. f RODO w związku z art. 8 § 1 Kodeksu postępowania administracyjnego polegające na wymierzeniu Bankowi pieniężnej kary administracyjnej za naruszenie przepisów ww. rozporządzenia, uznając błędnie, że współpraca skarżącego była "niezadowalająca", w sytuacji kiedy analiza materiału dowodowego w niniejszej sprawie prowadzi do zgoła odmiennego wniosku, przede wszystkim to Bank wykonał w terminie ciążący na nim obowiązek określony w art. 33 ust. 1 RODO, tj. dokonał zgłoszenia organowi o stwierdzonym naruszeniu ochrony danych osobowych, nadto dołożył należytej staranności i terminowości w kontakcie z organem i nie uchybił swoim obowiązkom w tym zakresie, przyczynił się do ustalenia całokształtu okoliczności sprawy oraz przedstawił wszelkie niezbędne dokumenty i informacje;

6. art. 7 oraz art. 77 § 1 Kodeksu postępowania administracyjnego poprzez niewyjaśnienie wszystkich okoliczności faktycznych i brak ustalenia w jakim zakresie były pracownik Banku - zobligowany do bezterminowego obowiązku zachowania tajemnicy - miał dostęp do danych pracowników skarżącego w ramach PUE ZUS, i czy z niego korzystał;

7. art. 75 § 1 oraz art. 77 § 1, a także art. 80 Kodeksu postępowania administracyjnego, poprzez brak przeprowadzenia jakiegokolwiek postępowania dowodowego w zakresie ustalenia w jakim zakresie były pracownik Banku - zobligowany do bezterminowego obowiązku zachowania tajemnicy - miał dostęp do danych pracowników skarżącego w ramach PUE ZUS, i czy z niego korzystał;

8. art. 78 § 1 oraz art. 77 § 1, a także art. 80 Kodeksu postępowania administracyjnego, poprzez brak uwzględnienia wniosków dowodowych skarżącego zawartych w piśmie z dnia 22 lipca 2021 r. pomimo, że zmierzały one do ustalenia okoliczności mających znaczenie dla sprawy, tj. wykazania, że w sprawie nie doszło do naruszenia ochrony danych osobowych skutkującym wysokim ryzykiem naruszenia praw i wolności podmiotów danych;

9. art. 80 Kodeksu postępowania administracyjnego, poprzez przekroczenie granic swobodnej oceny dowodów i dokonanie dowolnej, niezgodnej z całokształtem zebranego w sprawie materiału dowodowego oceny, a w konsekwencji uznanie, że w sprawie doszło do naruszenia ochrony danych osobowych skutkującym wysokim ryzykiem naruszenia praw i wolności podmiotów danych.

W odpowiedzi na skargę organ wniósł o jej oddalenie w całości podtrzymując w całości stanowisko wyrażone w zaskarżonej decyzji.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oddalił skargę Banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr DKN.5131.33.2021 w przedmiocie przetwarzania danych osobowych.

W uzasadnieniu wyroku Sąd I instancji wyjaśnił, że istota sprawy w niniejszym postępowaniu sprowadzała się do oceny tego, czy organ przy wydawaniu skarżonej decyzji poruszał się w granicach prawa. W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie na ww. postawione pytanie należało udzielić pozytywnej odpowiedzi.

Zdaniem Sądu I instancji organ poprawnie ustalił fakt naruszenia ochrony danych osobowych, o którym administrator danych powinien powiadomić osoby, których danych dotyczyło owo naruszenie. Okolicznością niesporną jest przecież to, że były pracownik Banku, po zakończeniu stosunku zatrudnienia, posiadał nadal możliwość logowania się do platformy PUE ZUS, a poprzez to posiadał dostęp do danych pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia. Wojewódzki Sąd Administracyjny w Warszawie zauważył, że poza sporem była też okoliczność, że ów były pracownik Banku skorzystał z tego nieuprawnionego przywileju i logował się pięciokrotnie do platformy PUE ZUS (w następujących terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Sąd I instancji stwierdził, że z powyższego organ w sposób uprawniony wywiódł, że sama możliwość nieograniczonego dostępu przez byłego pracownika Banku, do wielce wrażliwych danych znajdujących się na platformie PUE ZUS, które to dane dotyczyły aż 10 500 osób, powoduje istnienie wysokiego ryzyka dla praw i wolności osób, których danych mógł dotyczyć ten nieuprawniony dostęp. O wysokim ryzyku świadczy bowiem nie tylko zakres danych zgromadzonych na platformie PUE ZUS, ale też bardzo długi czas, w jakim Bank tolerował omawiany nieuprawniony dostęp do tych danych byłemu pracownikowi, jak też oczywiście liczba osób dotkniętych potencjalnym naruszeniem ich danych osobowych.

Biorąc powyższe pod uwagę, Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że skoro więc zaistniało wysokie ryzyko dla praw i wolności osób, organ miał bezwzględny obowiązek dokonać zawiadomienia o jakim mowa w art. 34 RODO.

Sąd I instancji dodał, że Bank w swojej argumentacji w sposób niewłaściwy odwołuje się do prawno-karnego pojęcia zamiaru bezpośredniego czy ewentualnego i wyjaśnił, że w realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, że administrator danych umyślnie zaniechał omawianego zawiadamiania dla dokonania czynu zabronionego (czego z resztą organ nigdy nie suponował Bankowi). Dla rozstrzygnięcia skargi wystarczy ustalenie, że będąc nawet w błędzie co do braku wystąpienia wysokiego ryzyka, administrator danych nie dokonał stosownego zawiadomienia.

Sąd I instancji stwierdził, że Bank nie wywiązał się z omawianego obowiązku zawiadomienia, zamieszczając informację w systemie Intranet. Z treści komunikatu Banku nie wynika bowiem to, aby dotyczył on konkretnego naruszenia. Zatem osoby, których danych dotyczyło naruszenie, nie miały żadnych powodów, by potraktować go jako odnoszący się do nich i odpowiednio zareagować. Nie może także umykać okoliczność, że komunikat ów skierowany został jedynie do obecnych pracowników Banku, jako korzystających z platformy komunikacji wewnętrznej. Właściwe zawiadomienie o naruszeniu powinno natomiast dotrzeć do wszystkich osób, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

Zdaniem Sądu I instancji nie było również uzasadnionym, uznanie przez Bank swojego byłego pracownika, za odbiorcę tzw. zaufanego. Wojewódzki Sąd Administracyjny w Warszawie wyjaśnił, że w myśl wytycznych WP 250 odbiorca zaufany to odbiorca, któremu administrator może ufać na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić tę kwestię w ocenie ryzyka przeprowadzanej w następstwie naruszenia - fakt, że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą poważne, ale nie znaczy to, że naruszenie nie miało miejsca.

Wobec treści powyższych wytycznych Sąd I instancji stwierdził, że za właściwe należało uznać wywody organu, że status odbiorcy zaufanego posiadają podmioty, które działają w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy podmiotami istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. W przypadku takiego odbiorcy administrator może przyjąć domniemanie, że zna on obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się w odpowiedni sposób. W związku z powyższym Sąd I instancji zauważył, że w przedmiotowej sprawie, pomiędzy byłym pracownikiem a administratorem nie istniał zaś już żaden stosunek obligacyjny, ani żadna inna więź o charakterze prawnym. Przypuszczenia Banku co do właściwego postępowania przez byłego pracownika z danymi osobowymi, nie wynikało więc z konkretnych, sprawdzalnych i weryfikowalnych okoliczności. Jako takie, nie mogły w sposób skuteczny uzasadniać domniemania o istnieniu tzw. odbiorcy zaufanego. Ustanie zatrudnienia jest przecież równoznaczne z zerwaniem dotychczasowej więzi prawnej miedzy stronami stosunku pracy i zobowiązuje strony do "rozliczenia się" z wzajemnych obowiązków wynikających z zakończonej umowy. Sąd I instancji zaznaczył, że w chwili ustania stosunku pracy przestaje obowiązywać zasada wyrażona w art. 100 § 2 Kodeksu pracy, tj. zasada szczególnej lojalności pracownika względem pracodawcy wyrażająca się chociażby w obowiązku dbania o dobro zakładu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Rozumiany w ten sposób obowiązek dochowania lojalności wynika z samego faktu nawiązania stosunku pracy i wiąże strony jedynie przez cały okres jego trwania, aż do momentu, w którym ustaje.

Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że trafnie więc zauważył organ, że o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale [...], posiadanie upoważnienia do przetwarzania danych osobowych w imieniu Banku) może wskazywać na duże doświadczenie i wiedzę podmiotu nieuprawnionego, o tyle fakt, że logowania do platformy PUE ZUS miały miejsce już po ustaniu stosunku pracy, częstotliwość tych logowań i odstępy czasu pomiędzy poszczególnymi logowaniami, wskazują na działanie celowe, a nie przypadkowe byłego pracownika Banku - w żadnym razie zatem nie uzasadniają posiadanego zaufania pracodawcy do byłego pracownika.

Wbrew twierdzeniom Banku zdaniem Sądu I instancji brak ustalenia zakresu danych osobowych, z jakimi faktycznie zapoznał się były pracownik podczas nieuprawnionych logowań, nie uniemożliwiał wydania skarżonej decyzji. W tym miejscu Wojewódzki Sąd Administracyjny w Warszawie przypomniał, że ów były pracownik miał dostęp do takich samych danych, do jakich dostęp posiadał w okresie, gdy był jeszcze zatrudniony w Banku. Miał więc de facto nieograniczony dostęp do bardzo wrażliwych danych osobowych wszystkich pracowników Banku, jakie znajdowały się na platformie PUE ZUS. Nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - że wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Następnie Wojewódzki Sąd Administracyjny w Warszawie przywołał pogląd zaprezentowany przez tut. Sąd w wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21, rozstrzygając w przedmiocie administracyjnej kary pieniężnej nałożonej na Śląski [...] , w którym Sąd stwierdził, że "(...) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, bowiem "możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw łub wolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, że cyt.: "nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianę poziomu ryzyka albo wymagająca podjęcia innych środków technicznych i organizacyjnych rozszerzających katalog podjętych działań" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powyższym przepisem".

W świetle powyższych wywodów Sąd I instancji uznał, że jako właściwe jawiło się postępowanie organu polegające na nieuwzględnieniu wskazanych przez Bank w piśmie z dnia 22 lipca 2021 r. wniosków dowodowych, bowiem okoliczności na jakie miałyby zostać przeprowadzone wnioskowane dowody, pozostawały bez wpływu na rozstrzygnięcie.

Przechodząc do oceny motywów nałożenia administracyjnej kary pieniężnej Sąd I instancji wyjaśnił, że czynność organu w ww. zakresie należy do kategorii tzw. uznania administracyjnego. Stąd jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego środka zostało sporządzone w sposób wyczerpujący i przekonujący.

Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie, badane uzasadnienie skarżonej decyzji spełnia powyższe kryteria. Organ nakładając karę wziął pod uwagę kluczowe dla sprawy przesłanki, a wnioski jakie wysnuł z ich analizy Sąd I instancji potraktował jako uprawnione zarówno z punktu widzenia zgodności z prawem, jak i z zasadami logicznego rozumowania.

W ocenie Wojewódzkiego Sądu Administracyjnego w Warszawie organ zasadnie uznał, że naruszenie, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Zdaniem Sądu I instancji słusznie organ przyjął, że nie bez znaczenia pozostaje również długi czas trwania tego naruszenia, oraz że dotyczyło 10 500 osób.

Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że trafne są też konkluzje o świadomym zrezygnowaniu przez Bank z omawianego zawiadamiania i zauważył, że tej okoliczności Bank de facto przecież nie kwestionuje gdyż nie podnosi, by zaniechanie to było skutkiem np. zapomnienia tłumacząc, że było skutkiem dokonanej przez Bank analizy ryzyka.

Sąd I instancji dodał, że wcześniejsze naruszenia zasad realizacji przez Bank nakazów RODO również rzutują pośrednio na wymierzoną karę, gdyż świadczą o tym, że wcześniej stosowane przez organ środki dyscyplinujące administratora danych, nie przyniosły pożądanych efektów. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie zasadne były też wnioski organu o braku zadawalającej współpracy z Bankiem skoro do poprawnego zawiadomienia osób, których dotyczyło sporne naruszenie doszło dopiero po wydaniu skarżonej decyzji (pomimo uwag organu artykułowanych już na początku trwania postępowania administracyjnego).

Wojewódzki Sąd Administracyjny w Warszawie wskazał także, że oczywistym również było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia).

Konkludując niniejszą część rozważań, Sąd I instancji wskazał, że wymierzoną karę pieniężną należało uznać za wyważoną i spełniającą kryteria zarówno prewencyjne jak i opresyjne.

Skargę kasacyjną od powyższego wyroku wywiódł Bank i zaskarżając ten wyrok w całości oraz wnosząc o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie, a także rozpoznanie skargi kasacyjnej na rozprawie i zasądzenie od organu na rzecz skarżącego kasacyjnie zwrotu kosztów postępowania kasacyjnego, w tym kosztów zastępstwa procesowego według norm przepisanych, zarzucił zaskarżonemu rozstrzygnięciu:

I. na podstawie art. 174 pkt 1 ustawy Prawo o postępowaniu przed sądami administracyjnymi naruszenie prawa materialnego, tj.:

1. art. 34 ust. 1 RODO, poprzez błędną jego wykładnię polegającą na uznaniu, że zakres danych hipotetycznie ujawnionych osobie nieuprawnionej decyduje o wystąpieniu wysokiego ryzyka naruszenia praw i wolności osób fizycznych (pracowników banku), podczas gdy prawodawca unijny nie uzależnił w przepisie art. 34 ust. 1 RODO wystąpienia wysokiego ryzyka praw i wolności osoby fizycznej od zakresu danych, lecz od szerszych okoliczności, takich jak: charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą (motyw 87 RODO); a nadto poprzez pominięcie elementu prawdopodobieństwa przy wykładni ww. przepisu, podczas gdy przy wycenie ryzyka naruszenia praw lub wolności osób fizycznych koniecznym jest uwzględnienie prawdopodobieństwa, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wystąpienia negatywnych skutków dla osób fizycznych (m.in. motyw 86, 88 i 90 RODO);

2. art. 34 ust. 1 RODO, poprzez jego błędną wykładnię polegającą na uznaniu, że nie jest istotne to, czy nieuprawniony odbiorca danych (były pracownik departamentu [...]) faktycznie zapoznał się z danymi, do których posiadał hipotetyczny dostęp, lecz to, że wystąpiło takie ryzyko (miał możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - że wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. podczas gdy przy wycenie ryzyka naruszenia praw lub wolności osób fizycznych koniecznym jest uwzględnienie szerszych okoliczności, takich jak: charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą oraz prawdopodobieństwa, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wystąpienia negatywnych skutków dla osób fizycznych (m.in. motyw 86, 87, 88 i 90 RODO);

3. art. 34 ust. 1 RODO, poprzez jego błędną wykładnię i w konsekwencji przyjęcie, że nieuprawniony odbiorca (były pracownik departamentu [...]) nie miał statusu zaufanego odbiorcy w myśl wytycznych WP250 rev.01 - wydanych przez Grupę Roboczą art. 29 (obecnie Europejska Rada Ochrony Danych) podczas, gdy administrator w określonych sytuacjach może uznać nieuprawnionego odbiorcę danych za "zaufanego", a taka sytuacja miała miejsce w rozpoznawanej sprawie;

4. art. 34 ust. 3 lit. a RODO, poprzez jego niezastosowanie, a w konsekwencji nieuprawnione uznanie, że Bank nie zastosował środków bezpieczeństwa, które obniżyły ryzyko naruszenia praw lub wolności podmiotów danych do poziomu przynajmniej średniego, podczas gdy Bank posiadał od nieuprawnionego odbiorcy (byłego pracownika departamentu [...] na stanowisku kierowniczym) oświadczenie o bezterminowym zachowaniu tajemnicy i poufności, a pracownik ten podlegał szkoleniom z zakresu ochrony danych osobowych, nadto Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych stosuje techniczne środki bezpieczeństwa, takie jak uwierzytelnianie użytkowników i dostęp oparty na rolach, a działania użytkowników zapisywane są w logach;

5. art. 4 pkt 15 RODO, poprzez jego błędną wykładnię i niewłaściwe zastosowanie oraz art. 58 ust. 1 ustawy o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa, poprzez jego niezastosowanie, a w konsekwencji uznanie, że dane zawarte na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych w postaci elektronicznych zwolnień lekarskich (dalej jako: "E-ZLA") stanowią dane dotyczące zdrowia, a w konsekwencji mają wpływ na wymiar kary pieniężnej (jej podwyższenie) wymierzonej Bankowi, podczas gdy informacje zawarte w E-ZLA nie stanowią danych dotyczących zdrowia, bowiem nie są informacjami o stanie zdrowia osoby fizycznej;

II. na podstawie art. 174 pkt 2 ustawy Prawo o postępowaniu przed sądami administracyjnymi naruszenie przepisów postępowania, które mogło mieć istotny wpływ na wynik sprawy:

1. art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi, poprzez nieuprawnione zastosowanie, spowodowane niedostrzeżeniem wad procesowych postępowania administracyjnego, w sytuacji, gdy skarżący wykazał, że postępowanie organu nadzorczego dotknięte było wadami, które uniemożliwiły prawidłowe ustalenie stanu faktycznego w sprawie, albowiem organ wbrew art. 7, art. 75 § 1, art. 77 § 1 oraz art. 80 Kodeksu postępowania administracyjnego:

a) nie ustalił do jakich danych osobowych nieuprawniony odbiorca (były pracownik departamentu [...]) miał faktyczny dostęp i czy z tego dostępu korzystał, albowiem zaniechał zwrócenia się do Zakładu Ubezpieczeń Społecznych w celu ustalenia tych okoliczności podczas, gdy okoliczności te miały znaczenie dla oszacowania wysokości ryzyka naruszenia praw lub wolności podmiotów danych (pracowników Banku) oraz wymiaru kary pieniężnej; a także zaniechał ustalenia zakresu danych osobowych w stosunku do konkretnej osoby fizycznej, co miało wpływ na wysokość kary pieniężnej wymierzonej Bankowi, albowiem a priori organ (a następnie Sąd I instancji) uznał, że na PUE ZUS znajdują się dane osobowe szczególnej kategorii;

b) nie ustalił, czy nieuprawniony hipotetyczny dostęp (byłego pracownika departamentu [...]) dotyczył danych osobowych pracowników Banku, do których ww. pracownik miał wcześniej dostęp (które znał), czy również osób zatrudnionych po ustaniu stosunku pracy z tym pracownikiem, albowiem zaniechał zwrócenia się do Zakładu Ubezpieczeń Społecznych podczas, gdy okoliczność ta miała znaczenie dla oszacowania wysokości ryzyka naruszenia praw lub wolności podmiotów danych (pracowników Banku) oraz wymiaru kary pieniężnej;

c) nie przeprowadził dowodu z zeznań świadka J.S. (byłego pracownika departamentu [...], nieuprawnionego odbiorcy) na okoliczność korzystania z dostępu do PUE ZUS oraz celem ustalenia, czy były pracownik zapoznawał się z danymi osobowymi na PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a jeżeli tak w jakim zakresie, podczas gdy okoliczność ta miała znaczenie dla oszacowania wysokości ryzyka naruszenia praw i wolności podmiotów danych (pracowników Banku) oraz wymiaru kary pieniężnej, ani nie zwrócił się do ZUS celem ustalenia powyższej okoliczności;

d) zaniechał ustalenia – poprzesz brak zobowiązania operatora PUE ZUS do przedstawiania logów i wszelkich zapisów systemu informatycznego – z jakimi danymi osobowymi J.S. zapoznawała się w ramach dostępu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r., do dnia odebrania jej uprawnień, tj. 4 lutego 2021 r.;

2. art. 1 § 1 i 2 ustawy Prawo o ustroju sądów administracyjnych i art. 3 § 1 i § 2 pkt 1 w związku z art. 141 § 4 ustawy Prawo o postępowaniu przed sądami administracyjnymi, poprzez wadliwe uzasadnienie zaskarżonego wyroku, nieodpowiadające wymogom określonym w art. 141 § 4 ustawy Prawo o postępowaniu przed sądami administracyjnymi polegające na całkowitym braku rozpoznania i dokonania oceny prawnej zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, w kontekście wskazanych wyżej sprzeczności z przepisami prawa materialnego, a w szczególności podniesionego w skardze zarzutu naruszenia przez organ art. 34 ust. 1 RODO, i pominięcia elementu prawdopodobieństwa przy wycenie ryzyka naruszenia praw lub wolności osoby fizycznych, a następnie dania temu wyrazu w uzasadnieniu zaskarżonego wyroku, podczas gdy Sąd winien ocenić wszechstronnie kwestię prawidłowości rozstrzygnięcia administracyjnego, w tym z punktu widzenia zastosowania przepisów prawa materialnego, jak też odpowiednio to uzasadnić - czego nie uczynił.

W uzasadnieniu skargi kasacyjnej strona skarżąca kasacyjnie podniosła, że błędna wykładnia art. 34 ust. 1 RODO dokonana przez Sąd I instancji polegała na uznaniu, że zakres danych hipotetycznie ujawnionych osobie nieuprawnionej decyduje o wystąpieniu wysokiego ryzyka naruszenia praw i wolności osób fizycznych (pracowników Banku), podczas gdy prawodawca unijny nie uzależnia wystąpienia wysokiego ryzyka praw lub wolności osoby fizycznej od zakresu danych, lecz szerszych okoliczności, takich jak: charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby fizycznej (por. motyw 87 RODO). Skarżący kasacyjnie podkreślił, że przy ustaleniu wysokiego ryzyka, musi być bardzo prawdopodobne, że efektem naruszenia ochrony danych osobowych stanie się naruszenie praw lub wolności podmiotu danych. Jeżeli ryzyko to będzie niskie lub średnie, wówczas przesłanka zawarta w art. 34 ust. 1 RODO nie będzie spełniona i w konsekwencji administrator nie będzie miał obowiązku zawiadomienia podmiotu danych o naruszeniu.

Skarżący kasacyjnie podniósł, że Wojewódzki Sąd Administracyjny w Warszawie w sposób nieuprawniony przyjął, że o wadze (poziomie) ryzyka decyduje wyłącznie zakres danych, do których były pracownik banku miał hipotetyczny dostęp, czas trwania tego dostępu, liczba osób dotkniętych naruszeniem. Jednocześnie skarżący kasacyjnie zwrócił uwagę, że nie wiadomo co miał na myśli Sąd I instancji pisząc o liczbie osób dotkniętych potencjalnym naruszeniem ich danych osobowych. Czym innym jest przecież naruszenie ochrony danych osobowych (tym bardziej potencjalne), a czym innym jest ryzyko naruszenia praw i wolności osób fizycznych. Jak podkreślił skarżący kasacyjnie, naruszenie ochrony danych osobowych (zdarzenie) powoduje ryzyko o pewnym poziomie naruszenia praw lub wolności osób fizycznych, a poziom ryzyka musi ocenić administrator. Skarżący kasacyjnie dodał, że niewiadomym jest również jak miałaby wpływać liczba osób dotkniętych zdarzeniem na ryzyko naruszenia praw lub wolności, bowiem liczba osób dotkniętych naruszeniem ma wpływ na wysokość kary (art. 83 ust. 2 RODO). Ryzyko zaś należy ocenić względem osoby dotkniętej naruszeniem, a nie dla ogółu. W ocenie skarżącego kasacyjnie Wojewódzki Sąd Administracyjny w Warszawie błędnie nie wziął pod uwagę konsekwencji (w zasadzie ich braku) naruszenia ochrony danych osobowych oraz jego niekorzystnych skutków, lecz założył a priori, że o wysokim ryzyku decyduje przede wszystkim zakres danych osobowych zgromadzonych na PUE ZUS.

Skarżący kasacyjnie wskazał także, że Sąd I instancji nie wziął pod uwagę wskazywanych przez niego w skardze okoliczności przemawiających za uznaniem, że w sprawie nie doszło do wysokiego ryzyka naruszenia praw lub wolności podmiotów danych, tj. wieloletniego zatrudnienia nieuprawnionego odbiorcy na wysokim stanowisku w departamencie [...] i dotychczasowy dostęp do platformy PUE ZUS w ramach tego zatrudnienia; bezterminowego obowiązku zachowania tajemnicy i poufności po stronie nieuprawnionego odbiorcy (środek bezpieczeństwa o charakterze organizacyjnym); samodzielnego zgłoszenia dostępu do konta PUE ZUS byłego pracodawcy (Banku) przez nieuprawnionego odbiorcę; stosowania środków bezpieczeństwa na platformie PUE ZUS takich jak uwierzytelnianie użytkowników oraz dostęp oparty na rolach (środki bezpieczeństwa o charakterze technicznym/technologicznym). Tymczasem w ocenie skarżącego kasacyjnie ww. okoliczności słusznie zostały uwzględnione przez Bank przy wycenie poziomu ryzyka naruszenia praw lub wolności jego pracowników. Jednocześnie zdaniem skarżącego kasacyjnie Wojewódzki Sąd Administracyjny w Warszawie bezzasadnie okoliczności tych nie wziął pod uwagę przy wykładni art. 34 ust 1 RODO, lecz uznał, że przepis ten dla wyceny ryzyka wymaga jedynie wzięcia pod uwagę zakresu danych, do których były pracownik banku miał hipotetyczny dostęp, czasu trwania tego dostępu, liczbę osób dotkniętych naruszeniem.

Skarżący kasacyjnie wskazał, że naruszenia przez Sąd I instancji art. 34 ust. 1 RODO upatruje również w pominięciu elementu prawdopodobieństwa przy wykładni ww. przepisu, podczas gdy przy wycenie ryzyka naruszenia praw i wolności osób fizycznych konieczne jest uwzględnienie prawdopodobieństwa, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wystąpienia negatywnych skutków dla osób fizycznych. Zdaniem skarżącego kasacyjnie Wojewódzki Sąd Administracyjny w Warszawie w ogóle nie wziął pod uwagę prawdopodobieństwa, którego nie sposób oderwać od faktów stosowania przez Bank takich środków bezpieczeństwa jak: bezterminowy obowiązek zachowania tajemnicy i poufności po stronie nieuprawnionego odbiorcy (środek bezpieczeństwa o charakterze organizacyjnym), a także systematyczne szkolenia z ochrony danych osobowych, czy stosowania środków bezpieczeństwa na platformie PUE ZUS takich jak uwierzytelnianie użytkowników oraz dostęp oparty na rolach (środki bezpieczeństwa o charakterze technologicznym/technicznym). Jednocześnie skarżący kasacyjnie wskazał, że dla Wojewódzkiego Sądu Administracyjnego w Warszawie nie miały znaczenia dla wyceny ryzyka okoliczności takie jak: wieloletnie zatrudnienie nieuprawnionego odbiorcy na wysokim stanowisku w Departamencie [...] i dotychczasowy dostęp do platformy PUE ZUS w ramach tego zatrudnienia, czy samodzielne zgłoszenie dostępu do konta PUE ZUS byłego pracodawcy (Banku) przez nieuprawnionego odbiorcę.

Skarżący kasacyjnie dodał, że poziomu ryzyka naruszenia praw i wolności osoby fizycznej nie można wyceniać w zależności od tego, czy do przetwarzania danych dochodzi zgodnie z prawem czy nie. Inaczej w ocenie skarżącego kasacyjnie byśmy doszli do fikcji, w której przepis prawa eliminowałby ryzyko negatywnych skutków dla osoby fizycznej. Zdaniem skarżącego kasacyjnie zawsze trzeba brać pod uwagę omawiane prawdopodobieństwo, a nie a priori uznawać, że bezprawny dostęp do danych (wobec zakończenia stosunku pracy - tak jak w niniejszej sprawie), równoznaczny jest z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jako przykład skarżący kasacyjnie wskazał nr PESEL, tj. numer identyfikacyjny, który jest publicznie dostępny w Krajowym Rejestrze Sądowym, co nie oznacza jednak, że jego upublicznienie (zgodne z prawem) wywołuje wysokie ryzyko naruszenia praw lub wolności dla osób ujawnionych w KRS. Tak samo podawanie PESEL powoda w pozwie (wymóg formalny) nie oznacza, jak wskazał skarżący kasacyjnie, że skonfliktowana strona (pozwany) zainteresowany jest wyrządzeniem szkody powodowi w oparciu o jego dane osobowe.

Skarżący kasacyjnie podkreślił, że ryzyko zgodnie z RODO się ocenia, szacuje, a nie a priori zakłada, że zakres danych osobowych przesądza o wysokim ryzyku. O hipotetycznym ryzyku mowa jest przy ocenie skutków przetwarzania danych osobowych. Ryzyko należy rozpoznać, ocenić i w razie konieczności zminimalizować.

Skarżący kasacyjnie podkreślił, że w niniejszej sprawie zastosował środki bezpieczeństwa, co także uczynił Zakład Ubezpieczeń Społecznych i wśród zastosowanych środków bezpieczeństwa wymienił: odebranie od pracownika oświadczenia o bezterminowym obowiązku zachowania tajemnicy i poufności (środek bezpieczeństwa o charakterze organizacyjnym), przy czym zaznaczył, że oświadczenie to nie traci mocy po ustaniu stosunku pracy; jak również systematyczne szkolenia z ochrony danych osobowych, przy czym zaznaczył, że są to podstawowe wymagane przez Prezesa Urzędu Ochrony Danych Osobowych środki bezpieczeństwa. Skarżący kasacyjnie wymienił także stosowanie środków bezpieczeństwa na platformie PUE ZUS takich jak uwierzytelnianie użytkowników oraz dostęp oparty na rolach (środki bezpieczeństwa o charakterze technologicznym/technicznym).

Skarżący kasacyjnie podniósł także, że Wojewódzki Sąd Administracyjny w Warszawie, ale także organ pominęli w sprawie to, że hipotetyczny dostęp do danych miała jedna zidentyfikowana osoba, a więc wywód o wykorzystaniu danych przez nieuprawnione osoby jest bezprzedmiotowy. Ponadto, jak zauważył skarżący kasacyjnie, postępowanie w żaden sposób nie wykazało jaka liczba osób miała w systemie informację o zwolnieniach lekarskich - przy założeniu, że są to dane szczególnej kategorii.

Skarżący kasacyjne podkreślił także, że były pracownik Banku współpracował z nim jako administratorem, bowiem samodzielnie zgłosił, że posiada dostęp do PUE ZUS w imieniu banku, a więc podjął dobrowolnie kroki celem odbioru mu uprawnień. Natomiast w kontekście logowań do PUE ZUS zdaniem skarżącego kasacyjnie Wojewódzki Sąd Administracyjny w Warszawie bezrefleksyjnie powtórzył za organem błędną tezę, że były pracownik logował się do systemu w przypadku braku uprawień, a jak już wcześniej wskazano, logowania te następowały wobec wykonywania takiej samej pracy u innego pracodawcy i jedynie w celu sprawdzenia, czy nadal te uprawnienia istnieją, a nie w celu przeglądania danych. Okoliczność ta, jak zaznaczył skarżący kasacyjnie, została w całości zignorowana przez organ, a następnie przez Sąd I instancji. Skarżący kasacyjnie podkreślił, że wbrew twierdzeniom Wojewódzkiego Sądu Administracyjnego w Warszawie, okoliczność logowań pozostaje kwestią sporną. Bank konsekwentnie twierdzi, że logowania te nie wiązały się z przeglądaniem danych osobowych pracowników Banku. Uznanie zaś przez Wojewódzki Sąd Administracyjny w Warszawie, że kwestia logowań jest kwestią bezsporną, świadczy jedynie o braku należytej uwagi względem zarzutów zawartych w skardze.

Zdaniem skarżącego kasacyjnie nie można również zaakceptować poglądu wyrażonego przez organ, a następnie Sąd I instancji, że żadna więź prawna nie łączy Banku z byłym pracownikiem, bowiem były pracownik departamentu [...] na stanowisku kierownika Zespołu [...], złożył oświadczenie w przedmiocie bezterminowego zachowania tajemnicy i poufności, które ma charakter zobowiązania. Ponadto, jako wieloletni pracownik departamentu [...] na stanowisku kierowniczym wiedział, że dostęp do PUE ZUS oparty jest na rolach i występuje uwierzytelnianie użytkowników. Wiedział zatem, że każdy ruch w systemie zapisywany jest w logach. Skarżący kasacyjnie wskazał więc, że mógł i słusznie przyznał status zaufanego odbiorcy byłemu pracownikowi. Mógł bowiem ufać, że były pracownik nie wykorzysta dostępu do PUE ZUS w celach przestępczych czy innych niekorzystnych względem pracowników Banku. Kwestia logowań nie niweczy przy tym jego zdaniem zasadności uznania byłego pracownika za zaufanego odbiorcę.

Skarżący kasacyjnie wskazał, że ocena ryzyka dokonana przez Bank uwzględniała długotrwałość stosunku pracy pomiędzy Bankiem, a jego byłym pracownikiem, dotychczasowe stanowisko tego pracownika, brak zastrzeżeń co do wykonywania obowiązków służbowych, które wiązały się z pracą na danych osobowych i to w szerszym zakresie niż danych dostępnych na PUE ZUS i powtórzył, że nieuprawnionym odbiorcą była jedna zidentyfikowana i dobrze znana administratorowi osoba.

Skarżący kasacyjnie powołując się na Opinię 3/2014 Grupy Roboczej Art. 29, w której wymieniono przypadki, w których zachodzi konieczność notyfikowania podmiotów danych podkreślając, że żaden z przywołanych tam przypadków nie jest podobny do naruszenia ochrony danych osobowych niniejszej sprawy, bowiem są one nacechowane działaniem osoby trzeciej, głównie z zamiarem przestępczym. Tymczasem w niniejszej sprawie były pracownik nie przełamywał żadnych zabezpieczeń, nie upubliczniał danych pracowników Banku, ani nie manipulował systemem informatycznym. Wręcz przeciwnie, samodzielnie zgłosił Bankowi, że ma dostęp do PUE ZUS.

Skarżący kasacyjnie podniósł także, że w sprawi błędnie stwierdzono, że dane zawarte w PUE ZUS w postaci elektronicznych zwolnień lekarskich stanowią dane dotyczące zdrowia, a w konsekwencji mają wpływ na wymiar kary pieniężnej (jej podwyższenie) wymierzonej Bankowi, bowiem w ocenie skarżącego kasacyjnie sam fakt posiadania przez pracownika zwolnienia lekarskiego nie jest daną dotyczącą zdrowia. Dane dotyczące zdrowia muszą bowiem ujawniać informacje o stanie zdrowia osoby fizycznej w odpowiednim stopniu szczegółowości. A contrario, jeżeli osoba nie posiada zwolnienia lekarskiego to przecież nie oznacza to, że Bank przetwarza dane osobowe dotyczące zdrowia - informację, że konkretna osoba jest zdrowa.

Następnie skarżący kasacyjnie podniósł, że Sąd I instancji błędnie zaakceptował postępowanie dowodowe organu nadzorczego, które dotknięte było wadami, które uniemożliwiły prawidłowe ustalenie stanu faktycznego w sprawie. W ocenie skarżącego kasacyjnie Wojewódzki Sąd Administracyjny w Warszawie w zasadzie nie dostrzegł wad procesowych postępowania administracyjnego i w sposób nieuprawniony oddalił skargę na podstawie art. 151 ustawy Prawo o postępowaniu przed sądami administracyjnymi. Skarżący kasacyjnie zauważył, że wbrew ocenie Sądu I instancji znaczenie dla sprawy, szczególnie wyceny ryzyka naruszenia praw lub wolności osób fizycznych, ale także wymiaru kary, miało ustalenie celu logowań, zakresu działań byłego pracownika na PUE ZUS na profilu banku, ustalenie ile osób (pracowników Banku) w swoich wpisach miało dane szczególnej kategorii - przy założeniu, że E-ZLA stanowią dane dotyczące zdrowia.

Skarżący kasacyjnie podniósł także, że okoliczności wskazane w podstawach kasacyjnych stanowią niezbędną przesłankę dla ustalenia co do zasady czy ziściły się przesłanki z art. 34 ust 1 RODO, a dalej dla oceny dokonanej przez Bank wyceny ryzyka. Zdaniem skarżącego kasacyjnie dopiero po ustaleniu wskazanych okoliczności faktycznych organ mógłby rozważyć czy spełnione są przesłanki do nałożenia kary pieniężnej oraz ustalenia jej wysokości. Skarżący kasacyjnie podkreślił, że prawidłowe ustalenie stanu faktycznego sprawy stanowi warunek konieczny do prawidłowego rozstrzygnięcia sprawy.

Zdaniem skarżącego kasacyjnie organ w niniejszej sprawie nie przeprowadził jakiegokolwiek postepowania, tym bardziej, że pominął wnioski dowodowe strony, w przedmiocie ustalenia, czy osoby fizyczne dotknięte naruszeniem poniosły szkodę, ani nie oszacował (ustalił) rozmiaru poniesionej szkody. Tymczasem skarżący kasacyjnie zauważy, że w art. 83 ust. 2 RODO mowa jest o poniesionej szkodzie, a nie ryzyku wystąpienia szkody. Skarżący kasacyjnie dodał także, że Wojewódzki Sąd Administracyjny w Warszawie nie zauważył bądź zaakceptował fakt, że organ nie poczynił ustaleń w zakresie kategorii danych osobowych, których dotyczyło naruszenie. Organ ustalił co prawda jakie dane osobowe co do zasady znajdują się w PUE ZUS, ale nie ustalił konkretów, tj. jakie kategorie danych osobowych występowały w stosunku do danej osoby fizycznej, np. ile pracowników w systemie miało informację o E-ZLA.

Skarżący kasacyjnie podkreślił także, że Wojewódzki Sąd Administracyjny w Warszawie przede wszystkim w uzasadnieniu zaskarżonego wyroku nie wspomniał nawet o prawdopodobieństwie, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wystąpienia negatywnych skutków dla osób fizycznych, nie rozpoznając tym samym głównego zarzutu skargi.

W piśmie procesowym z dnia 3 sierpnia 2023 r. organ wniósł o oddalenie skargi kasacyjnej podtrzymując w całości stanowisko wyrażone w wydanej w sprawie decyzji, jak również w udzielonej Wojewódzkiemu Sądowi Administracyjnemu w Warszawie odpowiedzi na skargę oraz w piśmie procesowym z dnia 7 listopada 2022 r., a także popierając stanowisko Sądu I instancji zaprezentowane w zaskarżonym wyroku. Organ podkreślił, że w sprawie w sposób wystarczający wykazano, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych, polegającym na posiadaniu przez byłego pracownika Banku nieuprawnionego dostępu do PUE ZUS, skutkującym możliwością przeglądania znajdujących się na tejże platformie danych pracowników Banku w zakresie ich imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Organ wskazał, że nie sposób jest zgodzić się ze skarżącym kasacyjnie, że Wojewódzki Sąd Administracyjny w Warszawie w sposób nieuprawniony przyjął, że o wadze (poziomie) ryzyka decyduje wyłącznie zakres danych, do których były pracownik Banku miał hipotetyczny dostęp, czas trwania tego dostępu, liczba osób dotkniętych naruszeniem, podczas gdy organ wykazał, że kluczowe znaczenie w sprawie ma to jakie ewentualne konsekwencje wobec osób fizycznych może powodować takie naruszenie. Organ zaznaczył, że oceniając ryzyko dla osób fizycznych będące wynikiem naruszenia, administrator powinien uwzględnić konkretne okoliczności naruszenia, w tym wagę potencjalnego wpływu i prawdopodobieństwo jego wystąpienia. Grupa Robocza Art. 29 zaleca zatem, aby w trakcie oceny brano pod uwagę rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, łatwość identyfikacji osób fizycznych i wagę konsekwencji dla osób fizycznych. Ponadto, należy zwrócić uwagę na to jak trwałe są konsekwencje dla osób fizycznych, gdyż wpływ może być postrzegany jako poważniejszy jeżeli dotyczy długiego okresu. W tym przypadku należy dodatkowo wziąć pod uwagę: cechy szczególne danej osoby fizycznej, cechy szczególne administratora danych, liczbę osób fizycznych, na które naruszenie wywiera wpływ. Natomiast w przypadku kryteriów, jakie EROD zaleca uwzględnić oceniając ryzyko dla osób fizycznych w wyniku naruszenia, również w Wytycznych 9/2022, wskazuje się na wymienione już powyżej elementy, tj. rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, łatwość identyfikacji osób, dotkliwość konsekwencji dla jednostek. I tak EROD stwierdza m.in., że "naruszenia dotyczące danych zdrowotnych, dokumentów tożsamości lub danych finansowych, takich jak dane kart kredytowych, same w sobie mogą wyrządzić szkody, ale użyte razem mogą posłużyć do kradzieży tożsamości. Kombinacja danych osobowych jest zwykle bardziej wrażliwa niż pojedynczy element danych osobowych".

Mając zatem na uwadze wskazane wyżej elementy takiej oceny, rekomendowane przez Grupę Roboczą, organ podkreślił, że właściwie uznał, iż w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych – pracowników Banku.

Organ dodał, że nie bez przyczyny Wojewódzki Sąd Administracyjny w Warszawie wziął pod uwagę zakres udostępnionych nieuprawnionemu odbiorcy danych, albowiem to właśnie zakres takich danych determinuje konsekwencje (szkody) jakie dane naruszenie może wywrzeć na osoby fizyczne. W ocenie organu Sąd I instancji właściwie doszedł do wniosku, iż ujawniony zakres danych generuje wysokie ryzyko. Organ zaznaczył, że w zaskarżonym wyroku wymieniono możliwe konsekwencje polegające na szkodach majątkowych, czy niemajątkowych takich jak m.in.: dyskryminacja, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia. Co do zaś "braku ich wystąpienia" organ przypomniał, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia i podjęcie środków zaradczych właśnie po to, by te ryzyka się nie zmaterializowały. Organ dodał, że podobnie zresztą jeśli chodzi o hipotetyczny dostęp do danych, który posiadał były pracownik, w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, tj. miała możliwość zapoznania się z tymi danymi.

W ocenie organu w sprawie prawidłowo ustalono, że nie wystąpiły okoliczności obniżające poziom ryzyka w stopniu zwalniającym z obowiązku dokonania zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia o naruszeniu osób, których dane dotyczą. Przede wszystkim organ stwierdził, że brak jest podstaw do uznania byłego pracownika Banku jako "zaufanego" odbiorcy danych, na co powoływał się skarżący kasacyjnie.

Organ dodał, że o ile były pracownik był zobowiązany do zachowania tajemnicy i poufności danych osobowych bezterminowo, o tyle podkreślenia wymaga fakt, że osoba ta nieuprawniony dostęp do danych osobowych posiadała po ustaniu stosunku pracy i w tym okresie logowała się do systemu. Natomiast w kwestii posiadanego przez byłego pracownika upoważnienia do przetwarzania danych osobowych w celach związanych z wykonywaniem obowiązków na zajmowanym stanowisku, jak wskazał sam Bank, zostało one udzielone wyłącznie w zakresie wynikającym z zadań służbowych oraz poleceń służbowych wynikających z realizacji zawartego stosunku umownego i traci ono ważność z chwilą ustania stosunku umownego wiążącego upoważnionego z Bankiem. Organ podkreślił, że w przedmiotowej sprawie nie ma ono zatem żadnego znaczenia, bowiem przestało obowiązywać. Przede wszystkim jednak organ podkreślił, że regulacje prawne, w tym obowiązki związane z zachowaniem tajemnicy, nie gwarantują osobie, której dane dotyczą stuprocentowej pewności oraz ochrony przed zmaterializowaniem się negatywnych skutków, bowiem kluczowym czynnikiem są stosunku, w jakich pozostają podmioty. Co zaś w ocenie organu najistotniejsze osoba, która posiadania nieuprawniony dostęp do danych osobowych pracowników Banku, aktualnie nie jest związana z nim stosunkiem pracy, nie łączą ich też jakiekolwiek inne relacje, np. biznesowe, a zatem powyższe okoliczności nie mają na gruncie przedmiotowej sprawy żadnego znaczenia.

Organ przypomniał, że ustanie zatrudnienia jest równoznaczne z zerwaniem dotychczasowej więzi prawnej miedzy stronami stosunku pracy i zobowiązuje strony do "rozliczenia się" z wzajemnych obowiązków wynikających z zakończonej umowy. O ile fakt bycia wieloletnim pracownikiem Banku, w Dziale [...], posiadanie upoważnienia do przetwarzania danych osobowych w imieniu Banku może – w ocenie organu – wskazywać na duże doświadczenie i wiedze podmiotu nieuprawnionego, o tyle fakt, że logowania do platformy PUE ZUS miały miejsce już po staniu stosunku pracy, częstotliwość tych logowań, odstępy czasu pomiędzy poszczególnymi logowaniami, wskazują na działanie celowe, a nie przypadkowe byłego pracownika Banku i w żadnym razie nie uzasadniają posiadanego zaufania pracodawcy do byłego pracownika.

Co do zaś kwestii zakresu udostępnionych danych, a dokładnie danych dotyczących zdrowia organ dodał, że każde zwolnienie lekarskie zawiera kod chorobowy, który wskazuje na daną grupę chorobową, np. kod B oznacza niezdolność do pracy w czasie ciąży, kod C wskazuje na niezdolność do pracy spowodowaną nadużyciem alkoholu, a kod D niezdolność do pracy spowodowaną gruźlicą, a więc są to dane dotyczące zdrowia. Ponadto, organ nadmienił, że w omawianym przypadku dodatkowo dochodzi kwestia tego, iż nieuprawniony odbiorca danych – były pracownik departamentu [...], miał dostęp do danych dotyczących zdrowia, zawartych w elektronicznych zwolnieniach lekarskich wszystkich pracowników Banku, a zatem zakres dostępu do danych dotyczących zdrowia był znaczny.

Organ wskazał także, że argumenty skarżącego kasacyjnie dotyczące rzekomych wad w przeprowadzeniu postepowania dowodowego, co miało uniemożliwić prawidłowe ustalenie stanu faktycznego sprawy, także uznać należy za bezzasadne.

Naczelny Sąd Administracyjny zważył, co następuje:

Zgodnie z treścią art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2026 r., poz. 143 ze zm.) - zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a., przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej.

Skargę kasacyjną można oprzeć na następujących podstawach:

1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie,

2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.).

Granice skargi kasacyjnej wyznaczają wskazane w niej podstawy.

W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. Rozpoznając skargę kasacyjną w tak zakreślonych granicach, stwierdzić należy, że skarga ta nie zasługuje na uwzględnienie.

W sytuacji, gdy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania (por. wyrok NSA z dnia 27 czerwca 2012 r., II GSK 819/11, LEX nr 1217424; wyrok NSA z dnia 26 marca 2010 r., II FSK 1842/08, LEX nr 596025; wyrok NSA z dnia 4 czerwca 2014 r., II GSK 402/13, LEX nr 1488113; wyrok NSA z dnia 17 lutego 2023 r., II GSK 1458/19; wyrok NSA z dnia 1 marca 2023 r., I FSK 375/20). Dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy, albo nie został dostatecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd pierwszej instancji przepis prawa materialnego. Dla uznania za usprawiedliwioną podstawę kasacyjną z art. 174 pkt 2 p.p.s.a. nie wystarcza samo wskazanie naruszenia przepisów postępowania, ale nadto wymagane jest, aby skarżący wykazał, że następstwa stwierdzonych wadliwości postępowania były tego rodzaju lub skali, iż kształtowały one lub współkształtowały treść kwestionowanego w sprawie orzeczenia (por. wyrok NSA z dnia 5 maja 2004 r., FSK 6/04, LEX nr 129933; wyrok NSA z dnia 26 lutego 2014 r., II GSK 1868/12, LEX nr 1495116; wyrok NSA z dnia 29 listopada 2022 r., I OSK 931/22).

Na podstawie pierwszego zarzutu naruszenia przepisów postępowania strona skarżąca kasacyjnie usiłuje wytknąć szereg nieprawidłowości w przeprowadzonym przez Prezesa Urzędu Ochrony Danych Osobowych postępowaniu zarzucając Wojewódzkiemu Sądowi Administracyjnemu w Warszawie naruszenie art. 151 p.p.s.a., poprzez nieuprawnione zastosowanie, spowodowane niedostrzeżeniem wad procesowych postepowania administracyjnego, w sytuacji gdy skarżący kasacyjne w jego ocenie wykazał, że postępowanie organu nadzorczego dotknięte było wadami, które uniemożliwiły prawidłowe ustalenie stanu faktycznego w sprawie, albowiem organ wbrew art. 7, art. 75 § 1, art. 77 § 1 i art.. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r., poz. 572 ze zm.) – dalej zwanej: k.p.a nie ustalił do jakich danych osobowych nieuprawniony odbiorca (były pracownik departamentu [...]) miał faktyczny dostęp i czy z tego dostępu korzystał. Skarżący kasacyjnie zwrócił uwagę na to, że w sprawie zaniechano zwrócenia się do Zakładu Ubezpieczeń Społecznych w celu ustalenia tych okoliczności podczas, gdy okoliczności te miały znaczenie dla oszacowania wysokości ryzyka naruszenia praw lub wolności podmiotów danych (pracowników Banku) oraz wymiaru kary pieniężnej. Ponadto strona skarżąca kasacyjnie wytknęła zaniechanie ustalenia zakresu danych osobowych w stosunku do konkretnej osoby fizycznej, co miało wpływ na wysokość kary pieniężnej wymierzonej Bankowi, albowiem a priori organ (a następnie Sąd I instancji) uznał, że na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych znajdują się dane osobowe szczególnej kategorii. Ponadto, skarżący kasacyjnie podniósł, że w sprawie nie ustalono czy nieuprawniony hipotetyczny dostęp (byłego pracownika departamentu [...]) dotyczył danych osobowych pracowników Banku, do których ww. pracownik miał wcześniej dostęp (które znał), czy również osób zatrudnionych po ustaniu stosunku pracy z tym pracownikiem, albowiem zaniechano zwrócenia się do Zakładu Ubezpieczeń Społecznych podczas, gdy okoliczność ta miała znaczenie dla oszacowania wysokości ryzyka naruszenia praw lub wolności podmiotów danych (pracowników Banku) oraz wymiaru kary pieniężnej. Skarżący kasacyjnie wytknął także nieprzeprowadzenie dowodu z zeznań świadka J.S. (byłego pracownika departamentu [...], nieuprawnionego odbiorcy) na okoliczność korzystania z dostępu do PUE ZUS oraz celem ustalenia, czy były pracownik zapoznawał się z danymi osobowymi na PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a jeżeli tak w jakim zakresie podczas, gdy okoliczność ta miała znaczenie dla oszacowania wysokości ryzyka naruszenia praw i wolności podmiotów danych (pracowników Banku) oraz wymiaru kary pieniężnej, ani nie zwrócił się do ZUS celem ustalenia powyższej okoliczności oraz zaniechanie ustalenia – poprzesz brak zobowiązania operatora Platformy Usług Elektronicznych Zakładu Ubezpieczeń Społecznych do przedstawiania logów i wszelkich zapisów systemu informatycznego – z jakimi danymi osobowymi J.S. zapoznawała się w ramach dostępu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r., do dnia odebrania jej uprawnień, tj. 4 lutego 2021 r.. Zarzuty te nie mogły jednak odnieść skutku z powodu bezzasadności ich argumentacji.

Przede wszystkim w związku z tym, że strona skarżąca kasacyjnie zarzuca naruszenie przez Wojewódzki Sąd Administracyjny w Warszawie art. 151 p.p.s.a. w powiązaniu z ww. przepisami k.p.a. podkreślenia wymaga, że w orzecznictwie Naczelnego Sądu Administracyjnego ugruntowane jest stanowisko, że przepis art. 151 p.p.s.a., podobnie zresztą jak art. 145 § 1 pkt 1, art. 146 § 1, art. 147, art. 149 § 1, czy też art. 161 § 1 p.p.s.a. ma charakter ogólny (blankietowy) i określa kompetencje sądu administracyjnego w fazie orzekania. Tego typu przepis nie może więc stanowić samodzielnej podstawy kasacyjnej. Strona skarżąca kasacyjnie chcąc powołać się na zarzut naruszenia art. 151 p.p.s.a. zobowiązana jest więc bezpośrednio powiązać omawiany zarzut z zarzutem naruszenia konkretnych przepisów, którym – jej zdaniem – Sąd I instancji uchybił w toku rozpoznania sprawy. Naruszenie ww. przepisów jest zawsze następstwem uchybienia innym przepisom, czy to procesowym, czy też materialnym (por. wyroki NSA: z dnia 30 kwietnia 2015 r., I OSK 1701/14, z dnia 29 kwietnia 2015 r., I OSK 1595/14, z dnia 29 kwietnia 2015 r., I OSK 1596/14, z dnia 24 kwietnia 2015 r., I OSK 1088/14, z dnia 8 kwietnia 2015 r., I OSK 71/15, z dnia 9 stycznia 2015 r., I OSK 638/14).

W związku z tym, że strona skarżąca kasacyjnie powiązała zarzut naruszenia art. 151 p.p.s.a. z art. 7, art. 75 § 1, art. 77 § 1 i art.. 80 k.p.a. wskazać należy, że wbrew twierdzeniom skarżącego kasacyjnie w rozpoznawanej sprawie wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania, wszczętego przez organ z urzędu i dotyczącego braku zawiadomienia przez Bank o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, skutkującego wymierzeniem mu administracyjnej kary pieniężnej i nakazaniem zawiadomienia osób, których dane dotyczą o naruszeniu ochrony ich danych osobowych, zostały wyjaśnione, a zgromadzone dowody związane z ww. przetwarzaniem danych, m.in. wyjaśnienia Banku, zostały poddane wszechstronnej i odpowiadającej prawu ocenie.

Podkreślenia w tym miejscu wymaga, że w postępowaniu sądowoadministracyjnym sąd nie ustala stanu faktycznego, lecz bada, czy w trakcie postępowania administracyjnego zostały ujawnione wszystkie okoliczności istotne dla wydania decyzji, czy były one uwzględnione przy wydaniu decyzji i w jaki sposób zostały ocenione przez organ (por. wyrok NSA z 16 maja 2008 r., II OSK 554/07). Sąd I instancji prawidłowo wywiązał się z tego obowiązku, dokonał poprawnej oceny zaskarżonej decyzji i słusznie przyjął ustalony przez organ stan faktyczny za odpowiadający wymogom prawa. Organ prowadząc postępowanie w niniejszej sprawie, powziął wszelkie niezbędne kroki do dokładnego wyjaśnienia stanu faktycznego sprawy. Zebrał i rozpatrzył cały materiał dowodowy, wskazując podstawy podjętego rozstrzygnięcia, a ocena ta nie narusza zasady swobodnej oceny dowodów. Organ ustosunkował się do wszelkich istotnych okoliczności wskazanych przez Bank. Słusznie przy tym wskazał Sąd I instancji, że nie mogło uniemożliwić wydania decyzji w sprawie brak ustalenia do jakich danych osobowych faktycznie miał dostęp nieuprawniony odbiorca, tj. były pracownik Banku i czy z tego dostępu korzystał. Wystarczające w sprawie było bowiem ustalenie, dokonane zresztą na podstawie wyjaśnień Banku i wiadomości od tego pracownika informującej o nieuprawnionym dostępie, że zakres danych przetwarzanych w ramach Platformy Usług Elektronicznych Zakładu Ubezpieczeń Społecznych dostępnych do wglądu temu pracownikowi był tożsamy z zakresem dostępnym do wglądu pracownikowi zatrudnionemu w Banku, tj. do następujących kategorii danych: imię, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z zaświadczeń e-ZLA, tj. do danych dotyczących zdrowia. Wbrew twierdzeniom strony skarżącej kasacyjnie nie było przy tym konieczne ustalenie zakresu danych osobowych w stosunku do konkretnej osoby fizycznej, czy też czy dostęp ten dotyczył danych osobowych pracowników Banku, do których ww. pracownik miał dostęp już wcześniej. Prawidłowe są także twierdzenia zarówno organu, jak i Wojewódzkiego Sądu Administracyjnego w Warszawie, że w sprawie nie było istotne to czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, a wyłącznie to, że wystąpiło takie ryzyko, tj. że osoba do tego nieuprawniona miała możliwość zapoznania się z tymi danymi. Na wynik sprawy w żaden sposób nie mogło mieć również wpływu nieprzeprowadzenie dowodu z zeznań świadka, o które wnioskował Bank, bowiem okoliczności na jakie miałyby zostać przeprowadzone wnioskowane dowody, na co słusznie zwrócił uwagę Wojewódzki Sąd Administracyjny w Warszawie, pozostawały bez wpływu na rozstrzygnięcie.

W związku zatem z tym, że ocena materiału dowodowego dokonana przez organ i zaakceptowana przez Sąd I instancji nie została w skardze kasacyjnej skutecznie podważona, to w konsekwencji powyższego, Sąd I instancji prawidłowo, na podstawie art. 151 p.p.s.a. oddalił skargę Banku.

Nie mógł także odnieść skutku zarzut naruszenia art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267) – dalej: p.u.s.a. i art. 3 § 1 i § 2 pkt 1 w związku z art. 141 § 4 p.p.s.a., którego strona skarżąca kasacyjnie upatruje w sporządzeniu przez Wojewódzki Sąd Administracyjny w Warszawie uzasadnienia zaskarżonego wyroku, nieodpowiadającego wymogom określonym w art. 141 § 4 p.p.s.a. w związku z całkowitym braku rozpoznania i dokonania oceny prawnej zaskarżonej decyzji Prezesa Urzędu Ochrony Danych Osobowych, w kontekście wskazanych wyżej sprzeczności z przepisami prawa materialnego, a w szczególności podniesionego w skardze zarzutu naruszenia przez organ art. 34 ust. 1 RODO i pominięcia elementu prawdopodobieństwa przy wycenie ryzyka naruszenia praw lub wolności osoby fizycznych, a następnie dania temu wyrazu w uzasadnieniu zaskarżonego wyroku, podczas gdy Sąd I instancji winien zdaniem skarżącego kasacyjnie ocenić wszechstronnie kwestię prawidłowości rozstrzygnięcia administracyjnego, w tym z punktu widzenia zastosowania przepisów prawa materialnego, jak też odpowiednio to uzasadnić - czego nie uczynił.

Odnosząc się w pierwszej kolejności do zarzutu naruszenia art. 1 § 1 i 2 p.u.s.a. wskazać należy, że przepis ten ma charakter ustrojowy i normuje zakres i kryterium kontroli działalności administracji publicznej przez sądy administracyjne i jako taki co do zasady nie może stanowić samodzielnej podstawy kasacyjnej. Może być on skutecznie wskazany jako naruszenie w ramach drugiej podstawy kasacyjnej w powiązaniu z konkretnie oznaczonymi przepisami p.p.s.a. (wyrok NSA z dnia 11 maja 2012 r., I OSK 70/12, LEX nr 1166069; wyrok NSA z dnia 26 lutego 2009 r., II FSK 1660/07, wyrok NSA z dnia 11 marca 2009 r., II FSK 103/08, wyrok NSA z dnia 23 listopada 2010 r., I GSK 445/10; wyrok NSA z dnia 6 lipca 2011 r., II GSK 1185/11, LEX nr 1083277; wyrok NSA z dnia 24 kwietnia 2008 r., FSK 576/07, LEX nr 475570). Skuteczność zarzutu naruszenia powyższego przepisu uzależniona jest zatem od skuteczności zarzutów naruszenia przepisów, które strona skarżąca kasacyjnie powiązała z zarzutem naruszenia ww. przepisu.

W związku z powyższym przechodząc do zarzutu naruszenia art. 3 § 1 i § 2 pkt 1 p.p.s.a., z którym powiązano zarzut naruszenia art. 1 § 1 i 2 p.u.s.a., wskazać należy, że przepis ten określa zakres kognicji sądu administracyjnego i w istocie nie zawiera samodzielnej treści normatywnej, określa wyłącznie zakres postępowania sądowoadministracyjnego i również nie może być podstawą zarzutu kasacyjnego z art. 174 pkt 2 tej ustawy bez powiązania z innymi przepisami procesowymi (por. wyrok NSA z dnia 8 kwietnia 2008 r., I FSK 277/07; wyrok NSA z dnia 4 września 2008 r., I OSK 266/08, LEX nr 490087; postanowienie NSA z dnia 9 grudnia 2009 r., II OSK 1375/09, LEX nr 582850). Przepis ten ma charakter ustrojowy, określając w sposób najbardziej ogólny i generalny zakres sprawowania wymiaru sprawiedliwości przez sądy administracyjne. Zawarte w nim unormowania nie mogą stanowić samodzielnej podstawy kasacyjnej, albowiem sądy administracyjne realizują swoje ustawowe kompetencje w ramach wykonywania kontroli legalności administracji publicznej na podstawie i w trybie szeregu konkretnych, określonych przepisów prawa, które w przypadku zarzutu ich naruszenia, winny być wskazane w skardze kasacyjnej z towarzyszącym temu sprecyzowaniem i umotywowaniem: do jakiego przekroczenia bądź niedopełnienia prawa doszło i na czym ono polegało.

Wreszcie więc nawiązując do zarzutu naruszenia art. 141 § 4 p.p.s.a., z którym powiązano zarzut naruszenia powyższych przepisów, wyjaśnić należy, że zarzut ten może być skutecznie postawiony w dwóch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich elementów, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy, wojewódzki sąd administracyjny nie wskaże, jaki i dlaczego stan faktyczny przyjął za podstawę orzekania (por. uchwała NSA z dnia 15 lutego 2010 r., sygn. akt: II FPS 8/09, LEX nr 552012, wyrok NSA z dnia 20 sierpnia 2009 r., sygn. akt: II FSK 568/08, LEX nr 513044). Naruszenie to, jak już wskazywano, musi być przy tym na tyle istotne, aby mogło mieć wpływ na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za jego pomocą nie można skutecznie zwalczać prawidłowości przyjętego przez sąd stanu faktycznego, czy też stanowiska sądu co do wykładni bądź zastosowania prawa materialnego. Przepis art.141 § 4 p.p.s.a. jest przepisem proceduralnym, regulującym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny Sąd Administracyjny zobowiązany jest jedynie do kontroli zgodności uzasadnienia zaskarżonego wyroku z wymogami wynikającymi z powyższej normy prawnej. Wadliwość uzasadnienia orzeczenia może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a., w sytuacji gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku (por. postanowienie NSA z dnia 22 maja 2014 r., II OSK 481/14). Tymczasem uzasadnienie zaskarżonego w niniejszej sprawie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie wbrew twierdzeniom strony skarżącej kasacyjnie zawiera przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowiska strony przeciwnej, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie, także w zakresie rozumienia art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., str. 35), dalej jako: "RODO". Sąd I instancji odniósł się do wszystkich kwestii istotnych z punktu widzenia rozstrzygnięcia sprawy i wskazał powody, dla których uznał, że skarga Banku na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr DKN.5131.33.2021 nie zasługiwała na uwzględnienie. Należy podkreślić przy tym, że wadliwość uzasadnienia orzeczenia może stanowić przedmiot skutecznego zarzutu kasacyjnego z art. 141 § 4 p.p.s.a. w sytuacji, gdy sporządzone jest ono w taki sposób, że niemożliwa jest kontrola instancyjna zaskarżonego wyroku (por. postanowienie NSA z dnia 22 maja 2014 r., II OSK 481/14). Natomiast treść uzasadnienia zaskarżonego w niniejszej sprawie wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie, wbrew twierdzeniom autora skargi kasacyjnej, czyni go w pełni poddającym się kontroli kasacyjnej i wprost wynika z niego rezultat i wnioski przeprowadzonej kontroli działalności administracji publicznej. Na marginesie jedynie można dodać, że obowiązek odniesienia się do zarzutów skargi oznacza konieczność odniesienia się do kwestii istotnych z punktu widzenia rozstrzygnięcia sprawy. Podkreślić należy, że przywołany przez autora skargi kasacyjnej art. 141 § 4 p.p.s.a. nie wymaga szczegółowego odniesienia się przez Sąd I instancji do wszystkich zarzutów skargi oraz podniesionej w niej argumentacji, ale wymaga odniesienia się do tych zarzutów, których zbadanie jest niezbędne do przeprowadzenia kontroli zaskarżonego aktu administracyjnego, co miało miejsce w realiach tej sprawy. Zarzutu naruszenia art. 141 § 4 p.p.s.a. nie może zatem skutecznie uzasadniać nieuwzględnieniem wszystkich zarzutów skargi, czy nieodniesieniem się przez sąd do wszystkich kwestii podnoszonych przez stronę. To, że skarżący kasacyjnie nie jest przekonany o trafności rozstrzygnięcia sprawy przez sąd, nie oznacza jeszcze wadliwości uzasadnienia wyroku (por. wyrok NSA z 30 listopada 2011 r., sygn. akt I OSK 1451/11). Brak przekonania strony o trafności rozstrzygnięcia sprawy, w tym co do przyjętego kierunku wykładni i zastosowania prawa, czy też oceny zgromadzonego w sprawie materiału dowodowego, która nie koresponduje z oczekiwaniami skarżącego kasacyjnie, nie oznacza wadliwości uzasadnienia wyroku. Polemika z merytorycznym stanowiskiem sądu pierwszej instancji nie może czynić skutecznym zarzutu naruszenia art. 141 § 4 p.p.s.a. Dlatego zarzuty naruszenia art. 141 § 4 p.p.s.a. uznać należało za nieskuteczne.

Przechodząc natomiast do oceny zarzutów sformułowanych przez stronę skarżącą kasacyjnie w ramach pierwszej podstawy kasacyjnej przypomnieć należy, że naruszenie prawa materialnego może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię wykazać należy, że sąd mylnie zrozumiał stosowany przepis prawa, natomiast uzasadniając zarzut niewłaściwego zastosowania przepisu prawa materialnego wykazać należy, że sąd stosując przepis popełnił błąd subsumcji, czyli że niewłaściwie uznał, iż stan faktyczny przyjęty w sprawie odpowiada lub nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykazać musi, jak w jego ocenie powinna być rozumiana norma zawarta w stosowanym przepisie prawa, czyli jaka powinna być jego prawidłowa wykładnia. Jednocześnie należy podkreślić, że ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (por. wyrok NSA z dnia 13 sierpnia 2013 r., II GSK 717/12, LEX nr 1408530; wyrok NSA z dnia 4 lipca 2013 r., I GSK 934/12, LEX nr 1372091).

Treść dwóch pierwszych zarzutów naruszenia prawa materialnego umożliwia ich łączne rozpoznanie, bowiem na ich podstawie strona skarżąca kasacyjnie zarzucając Sądowi I instancji naruszenie art. 34 ust. 1 RODO, poprzez dokonanie błędnej wykładni ww. przepisu. Z treści tych zarzutów wynika jednak, że w rzeczywistości strona skarżąca kasacyjnie nie podważa rozumienia ww. przepisu przez Wojewódzki Sąd Administracyjny w Warszawie, w szczególności w zakresie zawartej w tym przepisie przesłanki "wysokiego ryzyka naruszenia praw lub wolności osób fizycznych", lecz usiłuje zakwestionować stanowisko organu oraz Sądu I instancji wyrażone w niniejszej sprawie, zgodnie z którym takie wysokie ryzyko naruszenia praw lub wolności osób fizycznych wystąpiło w niniejszej sprawie, kwestionując tym samym dokonane przez organ i zaakceptowane przez Wojewódzki Sąd Administracyjny w Warszawie ustalenia faktyczne w niniejszej sprawie. Tak skonstruowane zarzuty dokonania błędnej wykładni art. 34 ust. 1 RODO nie mogły odnieść skutku.

W związku z konstrukcją omawianych zarzutów podkreślić należy, że podnosząc zarzut błędnej wykładni określonych przepisów prawa strona skarżąca kasacyjnie powinna wskazać, na czym polega błędne rozumienie tych przepisów i jaka, jej zdaniem, powinna być ich prawidłowa wykładnia. Tymczasem w niniejszej sprawie strona skarżąca kasacyjnie nie tylko nie wykazała na czym polega w jej ocenie błędne rozumienie art. 34 ust. 1 RODO i zawartej w niej przesłanki "wysokiego ryzyka naruszenia praw lub wolności osób fizycznych" przez Wojewódzki Sąd Administracyjny w Warszawie, ani też jaka powinna być jego prawidłowa wykładnia, lecz w ogóle nie odnosiła się do kwestii rozumienia tego przepisu przyjętego przez Sąd I instancji, ograniczając się wyłącznie do próby zakwestionowania na podstawie omawianych zarzutów ustaleń i ocen w zakresie stanu faktycznego sprawy.

Należy zwrócić uwagę, że jeśli zgodnie z art. 34 ust. 1 RODO, "Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu", to aby zweryfikować prawidłowość twierdzenia, zgodnie z którym "prawodawca unijny nie uzależnił w przepisie art. 34 ust. 1 RODO wystąpienia wysokiego ryzyka praw i wolności osoby fizycznej od zakresu danych, lecz od szerszych okoliczności, takich jak: charakter i waga naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą" konieczne było wskazanie prawidłowego – w ocenie strony skarżącej kasacyjnie – rozumienia zwrotu "wysokie ryzyko naruszenia praw lub wolności osób fizycznych". Tylko bowiem wówczas można ustalić, jakie elementy on obejmuje. Tymczasem strona skarżąca kasacyjnie wskazuje jedynie, że "przy wycenie ryzyka naruszenia praw lub wolności osób fizycznych koniecznym jest uwzględnienie prawdopodobieństwa, że naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wystąpienia negatywnych skutków dla osób fizycznych". Strona skarżąca kasacyjnie kładzie przy tym akcent na przesłankę prawdopodobieństwa, która jej zdaniem nie została zbadana. Argument taki podniesiony w ramach zarzutu błędnej wykładni prawa materialnego, tj. art. 34 ust. 1 RODO nie mógł odnieść skutku, gdy się zważy, że kwestia prawdopodobieństwa jest elementem definicyjnym pojęcia ryzyka, które oznacza "prawdopodobieństwo wystąpienia negatywnych skutków, możliwość, że coś się nie uda" (Internetowy Słowniki Języka Polskiego PWN), a organ wskazał okoliczności, które uzasadniały ocenę wysokiego ryzyka wystąpienia negatywnych skutków dla osób fizycznych. Niezależnie od tego, w motywie 76 RODO wskazano, że "Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko". Z kolei, zgodnie z motywem 83 RODO "W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporządzeniem administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania (...) Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych - i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych". Nie ma zatem podstaw do przyjęcia, że dla oceny ryzyka i stopnia ryzyka naruszenia praw lub wolności osób fizycznych przez naruszenie ochrony danych osobowych nie ma znaczenia zakres danych hipotetycznie ujawnionych osobie nieuprawnionej. Ponadto, z elementów definicyjnych ryzyka oraz z treści art. 4 pkt 12 RODO, zgodnie z którym ""naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych" wynika, że ryzyko naruszenia ochrony danych osobowych występuje m.in. w sytuacji "nieuprawnionego dostępu do danych osobowych". Z tego względu trafne jest stanowisko organu i Sądu I instancji, że wystąpienie ryzyka naruszenia ochrony danych osobowych nie jest uzależnione od tego, czy nieuprawniony odbiorca danych faktycznie zapoznał się z danymi, do których posiadał hipotetyczny dostęp.

Omawiane zarzuty nie mogły odnieść skutku także przy przyjęciu – również w ramach ich rekonstrukcji – że dotyczyły one niewłaściwego zastosowania art. 34 ust. 1 RODO, bowiem skoro – jak wyżej wskazano – niewłaściwe zastosowanie prawa materialnego oznacza błąd w zakresie subsumcji stanu faktycznego wobec treści stosowanej normy prawnej, to może być ono konsekwencją wcześniejszych błędnych ustaleń w zakresie stanu faktycznego, jak i błędnej wykładni prawa materialnego, ale może mieć miejsce również wtedy, gdy prawidłowe są ustalenia i oceny w zakresie stanu faktycznego oraz wykładnia prawa materialnego, a wadliwość przejawia się wyłącznie w zestawieniu stanu faktycznego ze stanem prawnym sprawy. W rozpatrywanej skardze kasacyjnej, jak już wskazano, nie zakwestionowano skutecznie ustaleń i ocen w zakresie stanu faktycznego. W treści podniesionych zarzutów nie podważono również prawidłowości, na co również zwrócono uwagę, wykładni prawa materialnego w zakresie objętym omawianymi zarzutami i stosowanego w realiach niniejszej sprawy. Oznacza to, że w realiach rozpatrywanej sprawy istotne jest zweryfikowanie, czy w podniesionych zarzutach strona skarżąca kasacyjnie wykazała, że Sąd I instancji w przyjętym przez ten Sąd stanie faktycznym i prawnym sprawy dokonał ich wadliwego zestawienia. W ocenie Naczelnego Sądu Administracyjnego treść omawianych zarzutów nie daje jednak podstaw do przyjęcia wypełnienia tego obowiązku przez stronę skarżącą kasacyjnie.

Jednak o nieskuteczności omawianych zarzutów świadczy zatem przede wszystkim ich treść, która ewidentnie wskazuje na to, że strona skarżąca kasacyjnie na ich podstawie kwestionuje ustalenia i oceny w zakresie stanu faktycznego sprawy upatrując wadliwości działania Sądu I instancji w błędnej jej zdaniem ocenie, że wymienione w art. 34 ust. 1 RODO wysokie ryzyko naruszenia praw lub wolności osób fizycznych, tj. pracowników banku w związku z nieuprawnionymi działaniami byłego pracownika departamentu [...], zaistniało w niniejszej sprawie. Tego rodzaju oceny i ustalenia można natomiast kwestionować zarzutami naruszenia przepisów postępowania. Zgodnie z ugruntowanymi poglądami prezentowanymi w orzecznictwie Naczelnego Sądu Administracyjnego niedopuszczalne jest zastępowanie zarzutu naruszenia przepisów postępowania, zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Próba zwalczenia ustaleń faktycznych poczynionych przez sąd pierwszej instancji nie może nastąpić przez zarzut naruszenia prawa materialnego (zob. wyrok NSA z dnia 29 stycznia 2013 r., I OSK 2747/12, LEX nr 1269660; wyrok NSA z dnia 6 marca 2013 r., II GSK 2327/11, LEX nr 1340137). Ocena zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie konkretnego stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (zob. wyrok NSA z dnia 6 marca 2013 r., II GSK 2328/11, LEX nr 1340138; wyrok NSA z dnia 14 lutego 2013 r., II GSK 2173/11, LEX nr 1358369). Jeżeli strona skarżąca kasacyjnie uważa, że ustalenia faktyczne są błędne, to zarzut naruszenia prawa materialnego poprzez błędne zastosowanie jest co najmniej przedwczesny, zaś zarzut naruszenia prawa przez błędną jego wykładnię – niezasadny. Zarzut naruszenia prawa materialnego nie może opierać się na wadliwym (kwestionowanym przez stronę) ustaleniu faktu (zob. wyrok NSA z dnia 13 marca 2013 r., II GSK 2391/11, LEX nr 1296051). Dlatego przede wszystkim z tego powodu omawiane zarzuty okazały się niezasadne.

Nie mógł także odnieść skutku zarzut dokonania błędnej wykładni art. 34 ust. 1 RODO uargumentowany przez skarżącego kasacyjnie nieprawidłowym jego zdaniem przyjęciem przez Wojewódzki Sąd Administracyjny w Warszawie, że były pracownik Banku (pracownik departamentu [...]) nie mógł zostać uznany za zaufanego odbiorcę w myśl wytycznych WP250 rev.01 wydanych przez Grupę Roboczą art. 29, bowiem również na podstawie tego zarzutu skarżący kasacyjnie nie wskazuje na czym polega błędne rozumienie art. 34 ust. 1 RODO i jaka, jego zdaniem, powinna być jego prawidłowa wykładnia, lecz ponownie usiłuje zakwestionować ustalenia faktyczne poczynione w sprawie – tym razem w zakresie ustalenia charakteru byłego pracownika Banku w kontekście możliwości uznania go za "zaufanego odbiorcę".

Nieskuteczny okazał się także zarzut niezastosowania art. 34 ust. 3 lit. a RODO i "w konsekwencji nieuprawnione uznanie, że Bank nie zastosował środków bezpieczeństwa, które obniżyły ryzyko naruszenia praw lub wolności podmiotów danych do poziomu przynajmniej średniego podczas, gdy Bank posiadał od nieuprawnionego odbiorcy (byłego pracownika departamentu [...] na stanowisku kierowniczym) oświadczenie o bezterminowym zachowaniu tajemnicy i poufności, a pracownik ten podlegał szkoleniom z zakresu ochrony danych osobowych, nadto Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych stosuje techniczne środki bezpieczeństwa, takie jak uwierzytelnianie użytkowników i dostęp oparty na rolach, a działania użytkowników zapisywane są w logach".

W orzecznictwie Naczelnego Sądu Administracyjnego prezentowane jest bowiem stanowisko, zgodnie z którym nie jest dopuszczalne w świetle brzmienia art. 174 p.p.s.a. formułowanie zarzutu skargi kasacyjnej jako naruszenie przepisu prawa "poprzez jego niezastosowanie" czy "pominięcie" (por. wyrok NSA z dnia 3 grudnia 2008 r., I OSK 1807/07, LEX nr 525973; wyrok NSA z dnia 14 maja 2007 r., I OSK 1247/06, LEX nr 342527; wyrok NSA z dnia 28 marca 2007 r., I OSK 31/07, LEX nr 327781; postanowienie NSA z dnia 2 marca 2012 r., I OSK 294/12, LEX nr 1136684). Zgodnie jednak z dominującym poglądem wyrażanym w orzecznictwie sądowoadministracyjnym, w ramach pierwszej podstawy kasacyjnej możliwe jest również kwestionowanie niezastosowania określonego przepisu prawa, z tym jednak zastrzeżeniem, że jeżeli strona skarżąca kasacyjnie podnosi w skardze kasacyjnej, że Sąd rozpoznający sprawę zastosował nie ten przepis prawa materialnego, który powinien być zastosowany, to powinna wskazać przepis właściwy jako podstawę materialną rozstrzygnięcia i uzasadnić, dlaczego ten właśnie przepis powinien lec u podstaw kwestionowanego rozstrzygnięcia, tj. dlaczego powinien być zastosowany (por. wyrok NSA z dnia 14 kwietnia 2004 r., OSK 121/04, Lex 120212; wyrok NSA z dnia 19 grudnia 2005 r., II OSK 299/05, LEX nr 190971; wyrok NSA z dnia 15 marca 2011 r., II OSK 323/10, LEX nr 1080252). Zarzut niewłaściwego zastosowania prawa materialnego w postaci pozytywnej, czyli zarzucenia zastosowania normy prawnej, która nie powinna być w danej sprawie zastosowana, a także w postaci negatywnej, czyli zarzucenia niezastosowania normy prawnej, która w ocenie wnoszącego skargę kasacyjną powinna być zastosowana, wymaga należytej precyzji w jego konstruowaniu w konkretnej sprawie (por. wyrok NSA z dnia 3 października 2013 r., II FSK 1020/12, LEX nr 1382183). Niezastosowany przez sąd w procesie kontroli przepis prawa materialnego może stanowić podstawę skargi kasacyjnej, jeżeli w konkretnym stanie faktycznym istniały podstawy do dokonania subsumcji (zob. B. Dauter: Prawo o postępowaniu przed sądami administracyjnymi. Komentarz do art. 174 Prawa o postępowaniu przed sądami administracyjnymi, teza 5, Lex 2013; wyrok NSA z dnia 16 marca 2011 r., II GSK 400/10, LEX nr 1080145), a sąd nie dostrzegając właściwej podstawy oparł swoje rozstrzygnięcie na podstawie niewłaściwej. Należy zatem stwierdzić, że nie dyskwalifikowałoby omawianego zarzutu skargi kasacyjnej wskazanie przez stronę skarżącą kasacyjnie na niezastosowanie art. 34 ust. 3 lit. a RODO jedynie wtedy, gdyby strona skarżąca kasacyjnie jednocześnie przywołała przepis lub przepisy, które w jej przekonaniu zostały wadliwie zastosowane zamiast przepisu przez nią wskazywanego wraz z podaniem uzasadnienia tego stanowiska. Jednak wymogu tego skarga kasacyjna nie spełnia, co tym samym czyni podnoszony zarzut niezastosowania art. 34 ust. 3 lit. a RODO nieskutecznym. Nawet, gdyby przyjąć, że niezastosowanie art. 34 ust. 3 lit. a RODO wiąże się z niewłaściwym zastosowaniem art. 34 ust. 1 RODO, którego dotyczą trzy pierwsze zarzuty naruszenia prawa materialnego, to również w tym przypadku omawiany zarzut nie mógł odnieść skutku, skoro nieskuteczne okazały się zarzuty naruszenia art. 34 ust. 1 RODO.

Wreszcie nieskutecznie również strona skarżąca kasacyjnie podnosi dokonanie przez Sąd I instancji błędnej wykładni art. 4 pkt 15 RODO, a także niewłaściwe zastosowanie powyższego przepisu, a także niezastosowanie art. 58 ust. 1 ustawy z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (Dz. U. z 2025 r., poz. 501), którego to naruszenia strona skarżąca kasacyjnie upatruje w uznaniu, że dane zawarte na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych w postaci elektronicznych zwolnień lekarskich stanowią dane dotyczące zdrowia, a w konsekwencji mają wpływ na wymiar kary pieniężnej (jej podwyższenie) wymierzonej Bankowi, podczas gdy informacje te w ocenie strony skarżącej kasacyjnie nie stanowią danych dotyczących zdrowia, bowiem nie są informacjami o stanie zdrowia osoby fizycznej. Treść powyższego zarzutu świadczy zatem o tym, że na jego podstawie strona skarżąca kasacyjnie ponownie usiłuje na podstawie zarzutu naruszenia prawa materialnego zwalczyć ustalenia faktyczne – tym razem w zakresie kwalifikacji i oceny charakteru danych zawartych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych, a jak już wskazywano tego rodzaju oceny i ustalenia można kwestionować wyłącznie zarzutami naruszenia przepisów postępowania. Niezależnie od tego należy zwrócić uwagę, że skoro zgodnie z art. 4 pkt 15 RODO "dane dotyczące zdrowia" to dane ujawniające informacje o stanie zdrowia osoby fizycznej, to sam fakt uzyskania zwolnienia lekarskiego wskazuje na stan zdrowia osoby fizycznej, jako stan wymagający zwolnienia z pracy.

Skoro podniesione w skardze kasacyjnej zarzuty okazały się nieskuteczne, Naczelny Sąd Administracyjny nie miał podstaw do jej uwzględnienia, co skutkowało oddaleniem skargi kasacyjnej w oparciu o art. 184 p.p.s.a.

O kosztach postępowania kasacyjnego rozstrzygnięto na podstawie art. 204 pkt 1 p.p.s.a.