{\rtf1\ansi\ansicpg1252
\deff0{\fonttbl{\f0\froman\fcharset0 Times New Roman;}{\f1\froman\fcharset0 Helvetica;}{\f2\froman\fcharset0 Arial;}{\f3\froman\fcharset0 unknown;}}
{\colortbl\red0\green0\blue0;\red255\green255\blue255;\red192\green192\blue192;}
{\stylesheet 
{\style\s1 \ql\fi0\li0\ri0\f2\fs32\b\cf0 heading 1;}
{\style\s2 \ql\fi0\li0\ri0\f2\fs28\b\i\cf0 heading 2;}
{\style\s3 \ql\fi0\li0\ri0\f2\fs26\b\cf0 heading 3;}
{\style\s0 \ql\fi0\li0\ri0\f2\fs24\cf0 Normal;}
}
{\*\listtable
}
{\*\listoverridetable
}
{\info}
\paperw11907\paperh16840\margl1440\margr1120\margt1720\margb1440
{\footer \pard\plain\s0\ql\fi0\li0\ri0\plain\f0 2026-04-13 03:19\par
}{\header \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f0 Centralna Baza Orzecze\u324? S\u261?d\u243?w Administracyjnych
\cell\pard\plain\intbl\s0\qr\fi0\li0\ri0\plain\f0 Str \f3{\field{\*\fldinst PAGE}{\fldrslt  }}\f0  / \f3{\field{\*\fldinst NUMPAGES \\* Arabic}{\fldrslt 1 }}
\cell \trowd
\trftsWidth3\trwWidth9347\trqc\trgaph10\trpaddl0\trpaddr0\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7630
\cellx7630\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrt\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1716
\cellx9346\row
\pard}\pgwsxn11907\pghsxn16840
\marglsxn1440\margrsxn1120\margtsxn1720\margbsxn1440\pard\plain\s0\fi0\li0\ri0\plain\f1\fs24\b III OSK 377/23 - Wyrok\b0\par
\par\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data orzeczenia\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2026-03-06
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw30\brdrcf0
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Data wp\u322?ywu\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 2023-02-21
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u261?d\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Naczelny S\u261?d Administracyjny
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b S\u281?dziowie\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Hanna Knysiak - Sudyka
\par Olga \u379?urawska - Matusiak
\par Wojciech Jakimowicz /przewodnicz\u261?cy sprawozdawca/
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Symbol z opisem\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 647  Sprawy zwi\u261?zane z ochron\u261? danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Has\u322?a tematyczne\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Ochrona danych osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sygn. powi\u261?zane\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 II SA/Wa 546/22
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Skar\u380?ony organ\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Generalny Inspektor Ochrony Danych Osobowych
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Tre\u347?\u263? wyniku\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Oddalono skarg\u281? kasacyjn\u261?
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Powo\u322?ane przepisy\b0
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18 Dz.U. 2026 nr 0 poz 143; art. 3 \u167? 1 i \u167? 2 pkt 1, art. 141 \u167? 4, art. 151; Ustawa z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi
\par Dz.U. 2024 nr 0 poz 572; art. 7, art. 75 \u167? 1, art. 77 \u167? 1 i art. 80; Ustawa z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (t.j.)
\par Dz.U.UE.L 2016 nr 119 poz 1; art. 4 pkt 12, art. 34 ust. 1; Rozporz\u261?dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z  przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Sentencja\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Naczelny S\u261?d Administracyjny w sk\u322?adzie: Przewodnicz\u261?cy: S\u281?dzia NSA Wojciech Jakimowicz (sprawozdawca) S\u281?dziowie: S\u281?dzia NSA Olga \u379?urawska-Matusiak S\u281?dzia del. WSA Hanna Knysiak-Sudyka Protokolant: starszy asystent s\u281?dziego Aleksandra Kraus po rozpoznaniu w dniu 6 marca 2026 r. na rozprawie w Izbie Og\u243?lnoadministracyjnej skargi kasacyjnej S. S.A. z siedzib\u261? w W. od wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 w sprawie ze skargi S. S.A. z siedzib\u261? w W. na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia 19 stycznia 2022 r. nr DKN.5131.33.2021 w przedmiocie przetwarzania danych osobowych 1. oddala skarg\u281? kasacyjn\u261?; 2. zas\u261?dza od S. S.A. z siedzib\u261? w W. na rzecz Prezesa Urz\u281?du Ochrony Danych Osobowych kwot\u281? 5400 (pi\u281?\u263? tysi\u281?cy czterysta) z\u322?otych tytu\u322?em zwrotu koszt\u243?w post\u281?powania kasacyjnego.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs18\b Uzasadnienie\b0
\par\pard\plain\intbl\s0\fi0\li0\ri0\plain\f1\fs22 Wojew\u243?dzki S\u261?d Administracyjny w Warszawie wyrokiem z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oddali\u322? skarg\u281? S. S.A. z siedzib\u261? w W. (dalej tak\u380?e jako: Bank) na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych (dalej tak\u380?e jako: organ) z dnia 19 stycznia 2022 r. nr DKN.5131.33.2021 w przedmiocie przetwarzania danych osobowych.
\par 
\par Wyrok ten zapad\u322? w nast\u281?puj\u261?cym stanie faktycznym i prawnym sprawy:
\par 
\par Decyzj\u261? z dnia 19 stycznia 2022 r. nr DKN.5131.33.2021 Prezes Urz\u281?du Ochrony Danych osobowych, na podstawie art. 104 \u167? 1 Kodeksu post\u281?powania administracyjnego, art. 7 ust. 1, art. 60, art. 101 i art. 103 ustawy o ochronie danych osobowych w zwi\u261?zku z art. 57 ust. 1 lit. a i lit. h, art. 58 ust. 2 lit. e oraz lit. i, at. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a w zwi\u261?zku z art. 34 ust. 1, ust. 2 i ust. 4 rozporz\u261?dzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych); dalej jako: "RODO", po przeprowadzeniu post\u281?powania administracyjnego wszcz\u281?tego z urz\u281?du w sprawie braku zawiadomienia o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, przez Bank, w punkcie 1 stwierdzaj\u261?c naruszenie przez Bank przepis\u243?w art. 34 ust. 1 RODO polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, na\u322?o\u380?y\u322? na Bank administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? w wysoko\u347?ci 545 748 PLN, w punkcie 2 nakaza\u322? Bankowi zawiadomienie \u8211? w terminie 3 dni od dnia dor\u281?czenia niniejszej decyzji \u8211? os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych osobowych, tj. wszystkich pracownik\u243?w Banku, kt\u243?rzy byli zatrudnieni w okresie, w kt\u243?rym by\u322?y pracownik Banku posiada\u322? nieuprawniony dost\u281?p do danych zgromadzonych w Platformie Us\u322?ug Elektronicznych ZUS (PUE ZUS) w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:
\par 
\par a) opisu charakteru naruszenia ochrony danych osobowych;
\par 
\par b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenia innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji;
\par 
\par c) opisu mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych;
\par 
\par d) opisu \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu \u8211? w tym \u347?rodk\u243?w w celi zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par W uzasadnieniu decyzji organ wyja\u347?ni\u322? na wst\u281?pie, \u380?e post\u281?powanie administracyjne przed Prezesem Urz\u281?du Ochrony Danych Osobowych zainicjowa\u322?o zg\u322?oszenie naruszenia ochrony danych dokonane przez Bank informuj\u261?ce o naruszeniu ochrony danych osobowych 10 500 os\u243?b. Jak podano, naruszenie polega\u322?o na posiadaniu przez by\u322?ego pracownika Banku, kt\u243?remu nie odebrano po zako\u324?czeniu stosunku pracy dost\u281?pu do Platformy Us\u322?ug Elektronicznych ZUS (PUE ZUS), nieuprawnionego dost\u281?pu do tej\u380?e platformy, w wyniku czego m\u243?g\u322? on przegl\u261?da\u263? znajduj\u261?ce si\u281? na profilu p\u322?atnika S. S.A. dane pracownik\u243?w Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia.
\par 
\par Organ prowadz\u261?c post\u281?powanie ustali\u322?, \u380?e \u243?w by\u322?y pracownik Banku korzysta\u322? ze swoich uprawnie\u324? i logowa\u322? si\u281? pi\u281?ciokrotnie do platformy PUE ZUS (w nast\u281?puj\u261?cych terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskuj\u261?c tym samym nieuprawniony wgl\u261?d w dane osobowe pracownik\u243?w Banku. Organ nie ustala\u322? za\u347? obszar\u243?w, kt\u243?re by\u322?y przegl\u261?dane przez nieuprawnion\u261? osob\u281? ani tego, do jakich konkretnie danych i dotycz\u261?cych ilu pracownik\u243?w osoba ta uzyska\u322?a dost\u281?p w trakcie logowa\u324? na profil p\u322?atnika S. S.A. na platformie PUE ZUS.
\par 
\par Jednocze\u347?nie organ ustali\u322? te\u380?, \u380?e Bank zrezygnowa\u322? z powiadamiania o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261? uznaj\u261?c, i\u380? cyt.: "w trakcie zatrudnienia pracownik mia\u322? dost\u281?p do znacznie szerszego katalogu danych pracowniczych, co zwi\u261?zane by\u322?o z pe\u322?nieniem funkcji kierowniczej w Departamencie [...]".
\par 
\par Organ przywo\u322?a\u322? art. 4 pkt 12 rozporz\u261?dzenia 2016/679, w my\u347?l kt\u243?rego "naruszenie ochrony danych osobowych" oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych. Z kolei zgodnie z art. 34 ust. 1 RODO w sytuacji mo\u380?liwo\u347?ci wyst\u261?pienia wysokiego ryzyka dla praw i wolno\u347?ci os\u243?b fizycznych wynikaj\u261?cych z naruszenia ochrony danych osobowych, administrator jest zobowi\u261?zany bez zb\u281?dnej zw\u322?oki zawiadomi\u263? osob\u281?, kt\u243?rej dane dotycz\u261?, o naruszeniu (czego w niniejszej sprawie nie uczyniono, naruszaj\u261?c tym samym ww. przepis). Organ zaznaczy\u322?, \u380?e administrator powinien zrealizowa\u263? ten obowi\u261?zek mo\u380?liwie jak najszybciej, a zawiadomienie to musi czyni\u263? zado\u347?\u263? zasadzie przejrzysto\u347?ci, tzn. powinno jasnym i prostym j\u281?zykiem opisywa\u263? charakter naruszenia ochrony danych osobowych (np. przedstawia\u263? okoliczno\u347?ci wyst\u261?pienia naruszenia wraz z opisem kategorii danych, kt\u243?re uleg\u322?y naruszeniu) oraz zawiera\u263? przynajmniej informacje i \u347?rodki, o kt\u243?rych mowa w art. 33 ust. 3 lit. b, c i d RODO. Organ doda\u322?, \u380?e innym elementem informacji przekazywanej osobom, kt\u243?rych dane dotycz\u261? jest opis charakteru naruszenia. Organ podkre\u347?li\u322?, \u380?e opis powinien by\u263? na tyle szczeg\u243?\u322?owy i jasny, aby osoby, do kt\u243?rych kierowane jest zawiadomienie, mog\u322?y zrozumie\u263? co si\u281? sta\u322?o z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza. Organ zaznaczy\u322?, \u380?e zbyt lakoniczna informacja nie spe\u322?nia tej funkcji, a tym samym nie pozwala osobom na w\u322?a\u347?ciwe zastosowanie si\u281? do wskaz\u243?wek administratora. Jak wskaza\u322? organ opr\u243?cz ww. opisu charakteru naruszenia, w zawiadomieniu skierowanym do os\u243?b, kt\u243?rych dane dotycz\u261?, administrator powinien ponadto jasnym i prostym j\u281?zykiem przekaza\u263? co najmniej nast\u281?puj\u261?ce informacje: imi\u281? i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od kt\u243?rego mo\u380?na uzyska\u263? wi\u281?cej informacji, opis mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych, opis \u347?rodk\u243?w zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu \u8211? w tym w stosowanych przypadkach \u8211? \u347?rodk\u243?w w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par Organ wyja\u347?ni\u322?, \u380?e w\u322?a\u347?ciwe wywi\u261?zanie si\u281? z obowi\u261?zku okre\u347?lonego w art. 34 RODO ma zapewni\u263? osobom, kt\u243?rych dane dotycz\u261? \u8211? szybk\u261? i przejrzyst\u261? informacj\u281? o naruszeniu ochrony ich danych osobowych wraz z opisem mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych oraz \u347?rodk\u243?w, kt\u243?re mog\u261? one podj\u261?\u263? w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w.
\par 
\par Organ zaznaczy\u322?, \u380?e zg\u322?aszanie narusze\u324? ochrony danych osobowych przez administratora stanowi skuteczne narz\u281?dzie przyczyniaj\u261?ce si\u281? do realnej poprawy bezpiecze\u324?stwa przetwarzania danych osobowych. Podkre\u347?li\u322? tak\u380?e, \u380?e obowi\u261?zek zawiadomienia osoby fizycznej o naruszeniu nie jest uzale\u380?niony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej mo\u380?liwo\u347?ci wyst\u261?pienia takiego ryzyka. Tym samym umo\u380?liwia osobie fizycznej dokonanie samodzielnej oceny naruszenia.
\par 
\par Nast\u281?pnie organ przypomnia\u322?, \u380?e naruszenie poufno\u347?ci danych, jakie wyst\u261?pi\u322?o w przedmiotowej sprawie, dotyczy\u322?o naruszenia ochrony danych osobowych polegaj\u261?cego na posiadaniu przez by\u322?ego pracownika Banku nieuprawnionego dost\u281?pu do Platformy Us\u322?ug Elektronicznych ZUS, co skutkowa\u322?o mo\u380?liwo\u347?ci\u261? przegl\u261?dania znajduj\u261?cych si\u281? na tej\u380?e platformie danych pracownik\u243?w Banku w zakresie ich imion i nazwisk, numer\u243?w PESEL, adres\u243?w zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia, powoduj\u261?c w konsekwencji wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Organ przywo\u322?a\u322? wskazania Grupy Roboczej Art. 29 (tj. Grupa Robocza ds. Ochrony Os\u243?b Fizycznych w zakresie Przetwarzania Danych Osobowych, powo\u322?ana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 pa\u378?dziernika 1995 r., zast\u261?piona zgodnie z art. 68 rozporz\u261?dzenia 2016/679 Europejsk\u261? Rad\u261? Ochrony Danych Osobowych, kt\u243?ra podczas pierwszego posiedzenia plenarnego EROD zatwierdzi\u322?a m.in. ni\u380?ej przywo\u322?ane wytyczne) WP250, w kt\u243?rych podano: "Ryzyko to istnieje w przypadku, gdy naruszenie mo\u380?e prowadzi\u263? do uszczerbku fizycznego lub szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone. Przyk\u322?ady takich szk\u243?d obejmuj\u261? dyskryminacj\u281?, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, straty finansowe i naruszenie dobrego imienia".
\par 
\par W ocenie organu nie ulega w\u261?tpliwo\u347?ci, \u380?e przywo\u322?ane w wytycznych przyk\u322?ady szk\u243?d, z uwagi na zakres danych obj\u281?ty niniejszym naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania lub pobytu, czy informacjami o zwolnieniach lekarskich, tj. danymi dotycz\u261?cymi zdrowia, mog\u261? wyst\u261?pi\u263? w omawianym przypadku. W konsekwencji, jak wyja\u347?ni\u322? organ, oznacza to, \u380?e wyst\u281?puje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b obj\u281?tych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowi\u261?zku zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 RODO, w kt\u243?rym musz\u261? si\u281? znale\u378?\u263? informacje okre\u347?lone w art. 34 ust. 2 RODO.
\par 
\par Ustosunkowuj\u261?c si\u281? do wyja\u347?nie\u324? Banku, i\u380? by\u322?ego pracownika potraktowa\u322? jako "odbiorc\u281? zaufanego", bowiem by\u322? wieloletnim pracownikiem Banku i przed ustaniem zatrudnienia piastowa\u322? stanowisko kierownicze w Zespole [...], w zwi\u261?zku z czym mia\u322? dost\u281?p do danych osobowych pozosta\u322?ych pracownik\u243?w przetwarzanych przez Bank w celach kadrowo-p\u322?acowych, czym argumentowano brak zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, organ wyja\u347?ni\u322?, \u380?e odbiorca zaufany to odbiorca, kt\u243?remu administrator mo\u380?e ufa\u263? na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania. Nawet je\u380?eli do danych uzyskano wgl\u261?d, administrator nadal mo\u380?e mie\u263? zaufanie do odbiorcy, \u380?e nie podejmie on \u380?adnych dalszych dzia\u322?a\u324? w kwestii tych danych oraz \u380?e niezw\u322?ocznie zwr\u243?ci dane do administratora i b\u281?dzie wsp\u243?\u322?pracowa\u263? przy ich odzyskaniu. W takich przypadkach administrator mo\u380?e uwzgl\u281?dni\u263? t\u281? kwesti\u281? w ocenie ryzyka przeprowadzanej w nast\u281?pstwie naruszenia - fakt, \u380?e odbiorca jest zaufany mo\u380?e spowodowa\u263?, \u380?e skutki naruszenia nie b\u281?d\u261? powa\u380?ne, ale nie znaczy to, \u380?e naruszenie nie mia\u322?o miejsca.
\par 
\par Organ podkre\u347?li\u322?, \u380?e status odbiorcy zaufanego posiadaj\u261? podmioty, kt\u243?re dzia\u322?aj\u261? w strukturach danej organizacji albo s\u261? np. dostawc\u261?, z kt\u243?rego us\u322?ug administrator stale korzysta. Pomi\u281?dzy podmiotami istnieje wi\u281?\u378? faktyczna, a nierzadko prawna, kt\u243?ra pozwala na ocen\u281? stopnia zaufania stron. W przypadku takiego odbiorcy administrator mo\u380?e przyj\u261?\u263? domniemanie, \u380?e zna on obowi\u261?zuj\u261?ce procedury w zakresie ochrony danych osobowych i \u380?e zachowa si\u281? w odpowiedni spos\u243?b. W przedmiotowej sprawie, zdaniem organu, nie wyst\u281?powa\u322? odbiorca zaufany, wobec czego Bank powinien by\u322? zachowa\u263? si\u281? w spos\u243?b bardziej ostro\u380?ny w przypadku ujawnienia danych osobie nieuprawnionej, a wi\u281?c zawiadomi\u263? o naruszeniu ochrony danych osobowych osoby, kt\u243?rych dane dotycz\u261?, zak\u322?adaj\u261?c, \u380?e naruszenie mo\u380?e wywo\u322?a\u263? szersze skutki. Zdaniem organu nie mo\u380?na bowiem ponad wszelk\u261? w\u261?tpliwo\u347?\u263? uzna\u263?, i\u380? by\u322?y pracownik zachowa si\u281? w odpowiedni spos\u243?b.
\par 
\par W ocenie organu o braku zaufania musi \u347?wiadczy\u263? sam fakt zalogowania si\u281? do systemu w przypadku braku uprawnie\u324?. Organ podkre\u347?li\u322?, \u380?e regulacje prawne, w tym obowi\u261?zki zwi\u261?zane z zachowaniem tajemnicy (upowa\u380?nienie do przetwarzania danych osobowych w imieniu Banku, o\u347?wiadczenia potwierdzaj\u261?ce zapoznanie si\u281? z obowi\u261?zuj\u261?c\u261? w Banku polityk\u261? przetwarzania danych osobowych oraz standardami bezpiecze\u324?stwa i poufno\u347?ci) nie gwarantuj\u261? osobie, kt\u243?rej dane dotycz\u261?, stuprocentowej pewno\u347?ci oraz ochrony przez zmaterializowaniem si\u281? negatywnych skutk\u243?w, bowiem kluczowym czynnikiem s\u261? stosunki, w jakich pozostaj\u261? podmioty. Jak wskaza\u322? organ, relacj\u281? t\u281? definiuje Grupa Robocza Art. 29 w ww. Wytycznych, w kt\u243?rych to zawarte zosta\u322?o poj\u281?cie "zaufanego odbiorcy". Organ doda\u322?, \u380?e osoba, kt\u243?ra posiada\u322?a nieuprawniony dost\u281?p do danych osobowych pracownik\u243?w Banku, aktualnie nie jest zwi\u261?zana z Bankiem stosunkiem pracy, nie \u322?\u261?cz\u261? ich te\u380? jakiekolwiek inne relacje biznesowe, a zatem przedstawione powy\u380?ej okoliczno\u347?ci i tak nie maj\u261? na gruncie przedmiotowej sprawy \u380?adnego znaczenia.
\par 
\par Nast\u281?pnie organ wskaza\u322?, \u380?e ustanie zatrudnienia jest r\u243?wnoznaczne z zerwaniem dotychczasowej wi\u281?zi prawnej miedzy stronami stosunku pracy i zobowi\u261?zaniem strony do "rozliczenia si\u281?" z wzajemnych obowi\u261?zk\u243?w wynikaj\u261?cych z zako\u324?czonej umowy i podkre\u347?li\u322?, \u380?e w chwili ustania stosunku pracy przestaje obowi\u261?zywa\u263? zasada wyra\u380?ona w art. 100 \u167? 2 Kodeksu pracy, tj. zasada szczeg\u243?lnej lojalno\u347?ci pracownika wzgl\u281?dem pracodawcy wyra\u380?aj\u261?ca si\u281? chocia\u380?by w obowi\u261?zku dbania o dobro zak\u322?adu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, kt\u243?rych ujawnienie mog\u322?oby narazi\u263? pracodawc\u281? na szkod\u281?. Rozumiany w ten spos\u243?b obowi\u261?zek dochowania lojalno\u347?ci wynika z samego faktu nawi\u261?zania stosunku pracy i wi\u261?\u380?e strony przez ca\u322?y okres jego trwania, a\u380? do momentu, w kt\u243?rym ustaje. Organ podkre\u347?li\u322?, \u380?e o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale [...], posiadanie upowa\u380?nienia do przetwarzania danych osobowych w imieniu Banku) mo\u380?e wskazywa\u263? na du\u380?e do\u347?wiadczenie i wiedz\u281? podmiotu nieuprawnionego, o tyle fakt, \u380?e logowania do platformy PUE ZUS mia\u322?y miejsce ju\u380? po ustaniu stosunku pracy, cz\u281?stotliwo\u347?\u263? tych logowa\u324? i odst\u281?py czasu pomi\u281?dzy poszczeg\u243?lnymi logowaniami, wskazuj\u261? wed\u322?ug organu na dzia\u322?anie celowe, a nie przypadkowe by\u322?ego pracownika Banku - w \u380?adnym razie zatem nie uzasadniaj\u261? posiadanego zaufania pracodawcy do by\u322?ego pracownika. Co wi\u281?cej, organ doda\u322?, \u380?e z przeprowadzonych czynno\u347?ci wyja\u347?niaj\u261?cych przez Bank oraz z uzyskanej z ZUS informacji na temat logowania do platformy PUE ZUS, za\u322?\u261?czonej jako dow\u243?d w formie korespondencji mailowej do wyja\u347?nie\u324? Banku wynika, \u380?e dwie inne osoby, jak mo\u380?na przypuszcza\u263? r\u243?wnie\u380? by\u322?e pracownice Banku, kt\u243?re r\u243?wnie\u380? posiada\u322?y nieuprawniony dost\u281?p do platformy, w og\u243?le si\u281? do niej nie logowa\u322?y, co jedynie potwierdza umy\u347?lno\u347?\u263? i brak przypadkowo\u347?ci dzia\u322?a\u324? osoby, kt\u243?rej dotyczy przedmiotowy incydent.
\par 
\par Odnosz\u261?c si\u281? do kolejnego argumentu Banku uzasadniaj\u261?cego niezawiadomienie o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, tj. brak precyzyjnie okre\u347?lonego obszaru danych i kr\u281?gu pracownik\u243?w, kt\u243?rych dane dotycz\u261?, co nie pozwala na identyfikacj\u281? zagro\u380?enia, organ uzna\u322?, \u380?e s\u261? one niezrozumia\u322?e, bowiem r\u243?wnocze\u347?nie Bank powo\u322?uje si\u281? na fakt dokonania wewn\u281?trznej weryfikacji dost\u281?pu do platformy PUE ZUS, w wyniku kt\u243?rej ustalono, \u380?e zakres danych dost\u281?pny do wgl\u261?du pracownikowi posiadaj\u261?cemu upowa\u380?nienie do przetwarzania danych osobowych jest identyczny do tego, kt\u243?ry wskaza\u322? by\u322?y pracownik w wiadomo\u347?ci informuj\u261?cej o nieuprawnionym dost\u281?pie, co wskazuje na to, \u380?e by\u322?y pracownik mia\u322? dost\u281?p do takich samych kategorii danych przetwarzanych w ramach platformy PUE ZUS, jak osoba zatrudniona, mianowicie do danych w zakresie: imi\u281?, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z za\u347?wiadcze\u324? e-ZLA, tj. dane dotycz\u261?ce zdrowia. Organ stwierdzi\u322?, \u380?e dost\u281?p do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolno\u347?ci os\u243?b, kt\u243?rych dane dotycz\u261?. Zdaniem organu, imi\u281? i nazwisko wraz z adresem zamieszkania lub pobytu oraz numerem ewidencyjnym PESEL mog\u261? zosta\u263? wykorzystane przez nieuprawnione osoby m.in do uzyskania dost\u281?pu do korzystania ze \u347?wiadcze\u324? opieki zdrowotnej i wgl\u261?du do danych o stanie zdrowia, czy uzyskania przez osoby trzecie po\u380?yczek w instytucjach pozabankowych.
\par 
\par Organ doda\u322?, \u380?e w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapozna\u322?a si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko (mia\u322?a mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - \u380?e wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych. St\u261?d sam fakt braku precyzyjnie okre\u347?lonego kr\u281?gu pracownik\u243?w, kt\u243?rych naruszenie dotyczy, nie stanowi w ocenie organu przeszkody dla realizacji obowi\u261?zku wynikaj\u261?cego z art. 34 RODO, cho\u263?by dlatego, \u380?e form\u261? przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, bior\u261?c pod uwag\u281? brak precyzyjnie okre\u347?lonego kr\u281?gu podmiot\u243?w, kt\u243?rych naruszenie dotyczy\u322?o, mo\u380?e by\u263? wed\u322?ug organu komunikat publiczny, np. zamieszczony w Intranecie. Organ doda\u322?, \u380?e administrator danych nie musi ogranicza\u263? si\u281? wy\u322?\u261?cznie do jednej formy zawiadomienia, ale mo\u380?e wykorzysta\u263? w ka\u380?dym indywidualnym przypadku tak\u261? form\u281?, kt\u243?ra jest w stanie zapewni\u263? skuteczne zawiadomienie os\u243?b fizycznych o wyst\u261?pieniu naruszenia. Komunikat na stronie internetowej powinien by\u263? widoczny bezpo\u347?rednio na stronie internetowej, bez konieczno\u347?ci otwierania dodatkowych podstron.
\par 
\par Organ zauwa\u380?y\u322?, \u380?e jak wynika z korespondencji przes\u322?anej przez Bank, odnosz\u261?cej si\u281? do zamieszczonego przez niego w Intranecie komunikatu, tego typu tre\u347?ci s\u261? publikowane na platformie komunikacji wewn\u281?trznej Banku. Jednak opublikowana w Intranecie informacja w gruncie rzeczy nie odnosi si\u281? do przedmiotowego naruszenia ochrony danych osobowych, bowiem stanowi jedynie og\u243?ln\u261? informacj\u281?, jakich z ca\u322?\u261? pewno\u347?ci\u261? wiele na platformie komunikacji wewn\u281?trznej Banku, na temat rodzaju naruszenia ochrony danych osobowych, jakim mo\u380?e by\u263? dost\u281?p osoby nieuprawnionej do danych osobowych pracownik\u243?w, jego mo\u380?liwych konsekwencjach czy \u347?rodkach zaradczych. W zwi\u261?zku z powy\u380?szym, w ocenie organu, informacja ta nie jest w \u380?adnym wypadku r\u243?wnoznaczna z wype\u322?nieniem obowi\u261?zku, o kt\u243?rym mowa w art. 34 ust. 1 RODO. Organ zauwa\u380?y\u322?, \u380?e z tre\u347?ci komunikatu nie wynika, aby dotyczy\u322? on konkretnego naruszenia, a zatem osoby, kt\u243?rych dane dotycz\u261?, nie mia\u322?y \u380?adnych powod\u243?w, by potraktowa\u263? go jako odnosz\u261?cy si\u281? do nich i odpowiednio zareagowa\u263?. Organ doda\u322? ponadto, \u380?e komunikat zosta\u322? skierowany jedynie do obecnych pracownik\u243?w Banku, jako korzystaj\u261?cych z platformy komunikacji wewn\u281?trznej, natomiast zawiadomione o naruszeniu powinny zosta\u263? wszystkie osoby, kt\u243?re by\u322?y zatrudnione w Banku w okresie, w kt\u243?rym dost\u281?p do danych dla osoby nieuprawnionej pozostawa\u322? otwarty, a kt\u243?re aktualnie mog\u261? ju\u380? w nim nie pracowa\u263?.
\par 
\par Odnosz\u261?c si\u281? do wskazanych przez Bank w pi\u347?mie z dnia 22 lipca 2021 r. wniosk\u243?w dowodowych na podstawie art. 78 \u167? 1 Kodeksu post\u281?powania administracyjnego, tj.:
\par 
\par 1) przeprowadzenia dowodu z zezna\u324? \u347?wiadka J.S. na okoliczno\u347?\u263? korzystania z dost\u281?pu do platformy PUE ZUS oraz celem ustalenia, czy by\u322?y pracownik Banku zapoznawa\u322? si\u281? z danymi osobowymi na platformie PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a je\u380?eli tak, to w jakim zakresie; ewentualnie: zwr\u243?cenie si\u281? przez organ do J.S. celem uzyskania informacji na pi\u347?mie, czy jako by\u322?y pracownik Banku zapoznawa\u322?a si\u281? z danymi osobowymi na platformie PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a je\u380?eli tak, to w jakim zakresie;
\par 
\par 2) zobowi\u261?zania operatora platformy PUE ZUS, tj. Zak\u322?ad Ubezpiecze\u324? Spo\u322?ecznych, do przedstawienia log\u243?w i wszelkich zapis\u243?w sytemu informatycznego - platformy PUE ZUS - celem ustalenia, z jakimi danymi osobowymi J.S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r. do dnia odebrania pracownikowi uprawnie\u324? w PUE ZUS, tj. do dnia 4 lutego 2021 r.;
\par 
\par 3) przeprowadzenia dowodu z opinii bieg\u322?ego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi J.S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r. do dnia odebrania pracownikowi uprawnie\u324? w PUE ZUS, tj. do dnia 4 lutego 2021 r.;
\par 
\par organ uzna\u322? je za nieistotne, gdy\u380? dotycz\u261? okoliczno\u347?ci niemaj\u261?cych znaczenia dla sprawy, bowiem dla zaistnienia obowi\u261?zku z art. 34 ust. 1 RODO wa\u380?ne jest ju\u380? samo ryzyko nieuprawnionego dost\u281?pu, kt\u243?re w przedmiotowej sprawie wyst\u261?pi\u322?o, a co zosta\u322?o wielokrotnie wykazane w niniejszej decyzji. W ocenie organu, zgromadzony w sprawie materia\u322? dowodowy jest wystarczaj\u261?cy do rozstrzygni\u281?cia sprawy, a okoliczno\u347?ci b\u281?d\u261?ce przedmiotem dowodu nie maj\u261? znaczenia dla spawy, z kolei organ nie ma obowi\u261?zku uwzgl\u281?dniania wszystkich wniosk\u243?w strony.
\par 
\par Nast\u281?pnie organ zwr\u243?ci\u322? uwag\u281? na to, \u380?e zawiadamiaj\u261?c bez zb\u281?dnej zw\u322?oki podmiot danych, administrator umo\u380?liwia osobie podj\u281?cie niezb\u281?dnych dzia\u322?a\u324? zapobiegawczych w celu ochrony praw lub wolno\u347?ci przed negatywnymi skutkami naruszenia. Organ wyja\u347?ni\u322?, \u380?e art. 34 ust. 1 i 2 RODO ma na celu nie tylko zapewnienie mo\u380?liwie najskuteczniejszej ochrony podstawowych praw lub wolno\u347?ci podmiot\u243?w danych, ale tak\u380?e realizacj\u281? zasady przejrzysto\u347?ci, kt\u243?ra wynika z art. 5 ust. 1 lit. a RODO. W\u322?a\u347?ciwe wywi\u261?zanie si\u281? z obowi\u261?zku okre\u347?lonego w art. 34 RODO ma zapewni\u263? osobom, kt\u243?rych dane dotycz\u261? - szybk\u261? i przejrzyst\u261? informacj\u281? o naruszeniu ochrony ich danych osobowych wraz z opisem mo\u380?liwych konsekwencji naruszenia ochrony danych osobowych oraz \u347?rodk\u243?w, kt\u243?re mog\u261? one podj\u261?\u263? w celu zminimalizowania jego ewentualnych negatywnych skutk\u243?w. Post\u281?puj\u261?c zgodnie z prawem i wykazuj\u261?c dba\u322?o\u347?\u263? o interesy os\u243?b, kt\u243?rych dane dotycz\u261?, administrator powinien by\u322? bez zb\u281?dnej zw\u322?oki zapewni\u263? osobom, kt\u243?rych dane dotycz\u261?, mo\u380?liwo\u347?\u263? jak najlepszej ochrony danych osobowych. Dla osi\u261?gni\u281?cia tego celu niezb\u281?dne jest przynajmniej wskazanie tych informacji, kt\u243?re wymienione s\u261? w art. 34 ust. 2 RODO, z kt\u243?rego to obowi\u261?zku Bank nie wywi\u261?za\u322? si\u281?. Podkre\u347?lono, \u380?e stosuj\u261?c przepisy RODO, nale\u380?y mie\u263? na uwadze, \u380?e celem tego rozporz\u261?dzenia (wyra\u380?onym w art. 1 ust. 2) jest ochrona podstawowych praw i wolno\u347?ci os\u243?b fizycznych, w szczeg\u243?lno\u347?ci ich prawa do ochrony danych osobowych oraz \u380?e ochrona os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambu\u322?y). W przypadku jakichkolwiek w\u261?tpliwo\u347?ci np. co do wykonania obowi\u261?zk\u243?w przez administrator\u243?w - nie tylko w sytuacji, gdy dosz\u322?o do naruszenia ochrony danych osobowych, ale te\u380? przy opracowywaniu technicznych i organizacyjnych \u347?rodk\u243?w bezpiecze\u324?stwa maj\u261?cych im zapobiega\u263? - nale\u380?y w pierwszej kolejno\u347?ci bra\u263? pod uwag\u281? te warto\u347?ci.
\par 
\par W konsekwencji organ stwierdzi\u322?, \u380?e Bank nie zawiadomi\u322? bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261? o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tego przepisu.
\par 
\par Wymierzaj\u261?c administracyjn\u261? kar\u281? pieni\u281?\u380?n\u261? Bankowi organ wskaza\u322?, \u380?e bra\u322? pod uwag\u281?:
\par 
\par 1. Charakter, wag\u281? i czas trwania naruszenia przy uwzgl\u281?dnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych os\u243?b, kt\u243?rych dane dotycz\u261?, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a RODO) i uzna\u322?, \u380?e stwierdzone w niniejszej sprawie naruszenie, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, ma znaczn\u261? wag\u281? i powa\u380?ny charakter, poniewa\u380? brak wiedzy o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, a tym samym brak mo\u380?liwo\u347?ci podj\u281?cia przez te osoby dzia\u322?a\u324? zaradczych i w\u322?a\u347?ciwych krok\u243?w w celu ochrony swoich praw, mo\u380?e doprowadzi\u263? do szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone, a prawdopodobie\u324?stwo ich wyst\u261?pienia jest wysokie. Nie bez znaczenia wed\u322?ug organu pozostaje r\u243?wnie\u380? d\u322?ugi czas trwania tego naruszenia. Od powzi\u281?cia przez Bank informacji o naruszeniu ochrony danych osobowych, generuj\u261?cego wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, a tym samym skutkuj\u261?cego konieczno\u347?ci\u261? zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261? tj. 4 lutego 2021 r. do dnia wydania niniejszej decyzji up\u322?yn\u281?\u322?o 11 miesi\u281?cy, w trakcie kt\u243?rych ryzyko naruszenia praw lub wolno\u347?ci os\u243?b dotkni\u281?tych naruszeniem mog\u322?o si\u281? zrealizowa\u263?, a czemu osoby te nie mog\u322?y przeciwdzia\u322?a\u263? ze wzgl\u281?du na niewywi\u261?zanie si\u281? przez Bank z obowi\u261?zku powiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu. Dodatkowo za okoliczno\u347?\u263? obci\u261?\u380?aj\u261?c\u261? uzna\u263? nale\u380?y fakt, i\u380? naruszenie, polegaj\u261?ce na niezawiadomieniu os\u243?b o naruszeniu ochrony ich danych osobowych, obejmowa\u322?o dane 10 500 os\u243?b, a pomimo i\u380? w niniejszej sprawie brak jest dowod\u243?w, aby osoby, do danych kt\u243?rych dost\u281?p uzyska\u322?a osoba nieuprawniona, dozna\u322?y szkody maj\u261?tkowej, to ju\u380? samo naruszenie poufno\u347?ci ich danych stanowi dla nich szkod\u281? niemaj\u261?tkow\u261? (krzywd\u281?). Osoby fizyczne, kt\u243?rych dane pozyskano w spos\u243?b nieuprawniony mog\u261? bowiem co najmniej odczuwa\u263? obaw\u281? przez utrat\u261? kontroli nad swoimi danymi osobowymi, kradzie\u380?\u261? to\u380?samo\u347?ci lub oszustwem dotycz\u261?cym to\u380?samo\u347?ci, dyskryminacj\u261?, czy wreszcie przed strat\u261? finansow\u261?;
\par 
\par 2. Umy\u347?lny charakter naruszenia (art. 83 ust. 2 lit. b RODO) i uzna\u322?, \u380?e Bank podj\u261?\u322? \u347?wiadom\u261? decyzj\u281?, by nie zawiadamia\u263? os\u243?b, kt\u243?rych dane dotycz\u261? i nie ulega w\u261?tpliwo\u347?ci, \u380?e Bank przetwarzaj\u261?c dane osobowe na masow\u261? skal\u281?, ma wysoki poziom wiedzy w zakresie ochrony danych osobowych, obejmuj\u261?cy wiedz\u281? o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkuj\u261?cych ryzkiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Maj\u261?c tak\u261? wiedz\u281?, po dokonaniu analizy ryzyka, Bank podj\u261?\u322? \u347?wiadom\u261? decyzj\u281? o rezygnacji z powiadomienia os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu ochrony ich danych osobowych. Wola ta, w ocenie organu. ujawniona zosta\u322?a i konsekwentnie podtrzymywana przez Bank w post\u281?powaniu przed organem, w trakcie kt\u243?rego Prezes Urz\u281?du Ochrony Danych Osobowych w pierwszej kolejno\u347?ci informowa\u322? Bank o obowi\u261?zkach ci\u261?\u380?\u261?cych na administratorze w zwi\u261?zku z naruszeniem ochrony danych i o mo\u380?liwo\u347?ci wyst\u261?pienia w sprawie wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie. W ko\u324?cu samo wszcz\u281?cie przez organ niniejszego post\u281?powania w przedmiocie obowi\u261?zku zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, powinno nasun\u261?\u263? Bankowi co najmniej w\u261?tpliwo\u347?ci co do w\u322?asnej oceny skutk\u243?w naruszenia.
\par 
\par 3. Stosowne wcze\u347?niejsze naruszenia przepis\u243?w RODO ze strony administratora i organ przywo\u322?a\u322? decyzje z dnia 17 grudnia 2020 r. i z dnia 22 kwietnia 2021 r. o udzieleniu Bankowi upomnienia;
\par 
\par 4. Stopie\u324? wsp\u243?\u322?pracy z organem nadzorczym w celu usuni\u281?cia naruszenia oraz z\u322?agodzenia jego ewentualnych negatywnych skutk\u243?w (art. 83 ust. 2 lit. f RODO) i wskaza\u322?, \u380?e w niniejszej sprawie uzna\u322? za niezadowalaj\u261?c\u261? wsp\u243?\u322?prac\u281? ze strony Banku i wyja\u347?ni\u322?, \u380?e ocena ta dotyczy reakcji Banku na pisma Prezesa Urz\u281?du Ochrony Danych Osobowych informuj\u261?ce o obowi\u261?zkach ci\u261?\u380?\u261?cych na administratorze w zwi\u261?zku z naruszeniem ochrony danych, czy wreszcie wobec wszcz\u281?cia post\u281?powania administracyjnego w przedmiocie obowi\u261?zku zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?. Prawid\u322?owe w ocenie organu dzia\u322?ania, kt\u243?re mog\u322?yby spowodowa\u263? brak negatywnych konsekwencji dla praw danych os\u243?b lub bardziej ograniczony wp\u322?yw tych konsekwencji ni\u380? mog\u322?oby to mie\u263? miejsce, nie zosta\u322?y podj\u281?te przez Bank nawet po wszcz\u281?ciu przez Prezesa Urz\u281?du Ochrony Danych Osobowych post\u281?powania administracyjnego w sprawie;
\par 
\par 5. Kategorie danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie (art. 83 ust. 2 lit. g RODO) i wyja\u347?ni\u322?, \u380?e dane osobowe, do kt\u243?rych mo\u380?liwy dost\u281?p uzyska\u322?a osoba nieuprawniona, a kt\u243?rych dotyczy\u322?o zg\u322?oszone przez Bank naruszenie ochrony danych osobowych, (generuj\u261?ce wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, zwi\u261?zane z konieczno\u347?ci\u261? powiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?), stanowi\u261? szeroki zakres (imi\u281? i nazwisko, adres zamieszkania lub pobytu, numer PESEL), a ponadto nale\u380?\u261? do szczeg\u243?lnych kategorii danych osobowych, o kt\u243?rych mowa w art. 9 RODO, bowiem w\u347?r\u243?d nich znajduj\u261? si\u281? dane dotycz\u261?ce zdrowia (informacje o zwolnieniach lekarskich), co wi\u261?\u380?e si\u281? z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Organ podkre\u347?li\u322?, \u380?e niepowiadomienie os\u243?b, kt\u243?rych dane dotycz\u261?, o naruszeniu poufno\u347?ci ich danych osobowych, musi by\u263? oceniane surowiej gdy dotyczy danych osobowych szczeg\u243?lnej kategorii.
\par 
\par Organ doda\u322?, \u380?e \u380?adnego wp\u322?ywu na fakt zastosowania przez organ w niniejszej sprawie sankcji w postaci administracyjnej kary pieni\u281?\u380?nej, jak r\u243?wnie\u380? na jej wysoko\u347?\u263?, nie mia\u322?y inne, wskazane w art. 83 ust. 2 RODO okoliczno\u347?ci.
\par 
\par Konkluduj\u261?c organ uzna\u322?, \u380?e zastosowana administracyjna kara pieni\u281?\u380?na spe\u322?nia w ustalonych okoliczno\u347?ciach niniejszej sprawy funkcje, o kt\u243?rych mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszaj\u261?ca. Organ wyja\u347?ni\u322?, \u380?e kara b\u281?dzie skuteczna, je\u380?eli jej na\u322?o\u380?enie doprowadzi do tego, \u380?e Bank, profesjonalnie i na skal\u281? masow\u261? przetwarzaj\u261?cy dane osobowe, w przysz\u322?o\u347?ci b\u281?dzie wywi\u261?zywa\u322? si\u281? ze swoich obowi\u261?zk\u243?w z zakresu ochrony danych osobowych, w szczeg\u243?lno\u347?ci w zakresie zawiadamiania o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie. W ocenie organu, administracyjna kara pieni\u281?\u380?na spe\u322?ni funkcj\u281? represyjn\u261?, jako \u380?e stanowi\u263? b\u281?dzie odpowied\u378? na naruszenie przez Bank przepis\u243?w RODO. B\u281?dzie r\u243?wnie\u380? spe\u322?nia\u263? funkcj\u281? prewencyjn\u261?, bowiem wska\u380?e zar\u243?wno Bankowi, jak i innym administratorom danych, na naganno\u347?\u263? lekcewa\u380?enia obowi\u261?zk\u243?w administrator\u243?w zwi\u261?zanych z zaistnieniem naruszenia ochrony danych osobowych, a maj\u261?cych na celu przecie\u380? zapobie\u380?enie jego negatywnym i cz\u281?sto dotkliwym dla os\u243?b, kt\u243?rych naruszenie dotyczy, skutkom, a tak\u380?e usuni\u281?cie tych skutk\u243?w lub przynajmniej ich ograniczenie.
\par 
\par Odnosz\u261?c si\u281? do wysoko\u347?ci wymierzonej Bankowi administracyjnej kary pieni\u281?\u380?nej, Prezes Urz\u281?du Ochrony Danych Osobowych uzna\u322?, i\u380? jest ona proporcjonalna do sytuacji finansowej Banku i nie b\u281?dzie stanowi\u322?a dla niego nadmiernego obci\u261?\u380?enia. Organ wyja\u347?ni\u322?, \u380?e z przes\u322?anego "Raportu Rocznego S. S.A. za 2020 rok" wynika, \u380?e przychody z dzia\u322?alno\u347?ci Banku w 2020 roku wynios\u322?y ok. 5 mld z\u322?, w zwi\u261?zku z czym kwota na\u322?o\u380?onej w niniejszej sprawie administracyjnej kary pieni\u281?\u380?nej stanowi ok. 0,011 % ca\u322?kowitego rocznego \u347?wiatowego obrotu przedsi\u281?biorstwa z poprzedniego roku obrotowego. Jednocze\u347?nie organ podkre\u347?li\u322?, \u380?e kwota na\u322?o\u380?onej kary (545 748,00 z\u322?) to jedynie 1,2 % maksymalnej wysoko\u347?ci kary, kt\u243?r\u261? Prezes Urz\u281?du Ochrony Danych Osobowych m\u243?g\u322? - stosuj\u261?c zgodnie z art. 83 ust. 4 RODO pr\u243?g 2% liczony od ca\u322?kowitego rocznego obrotu - na\u322?o\u380?y\u263? na Bank za stwierdzone w niniejszej sprawie naruszenia. Wysoko\u347?\u263? kary zosta\u322?a bowiem, jak wyja\u347?ni\u322? organ, okre\u347?lona na takim poziomie, aby z jednej strony stanowi\u322?a adekwatn\u261? reakcj\u281? organu nadzorczego na stopie\u324? naruszenia obowi\u261?zk\u243?w administratora, z drugiej jednak strony nie powodowa\u322?a sytuacji, w kt\u243?rej konieczno\u347?\u263? uiszczenia kary finansowej poci\u261?gnie za sob\u261? negatywne nast\u281?pstwa, w postaci znacz\u261?cej redukcji zatrudnienia b\u261?d\u378? istotnego spadku obrot\u243?w Banku. Zdaniem organu, Bank powinien i jest w stanie ponie\u347?\u263? konsekwencje swoich zaniedba\u324? w sferze ochrony danych, o czym \u347?wiadczy chocia\u380?by sprawozdanie finansowe Banku, przes\u322?ane do organu w dniu 26 lipca 2021 r.
\par 
\par W pi\u347?mie z dnia 22 lutego 2022 r. Bank wywi\u243?d\u322? do Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie skarg\u281? na powy\u380?sz\u261? decyzj\u281? organu i wnosz\u261?c o jej uchylenie w ca\u322?o\u347?ci i zas\u261?dzenie na rzecz skar\u380?\u261?cego koszt\u243?w post\u281?powania, w tym koszt\u243?w zast\u281?pstwa radcy prawnego wed\u322?ug norm przepisanych, zarzuci\u322? naruszenie:
\par 
\par 1. art. 34 ust. 1 RODO, poprzez niew\u322?a\u347?ciwe zastosowanie i uznanie, \u380?e Bank nie dokona\u322? zawiadomienia os\u243?b w trybie ww. normy bez zb\u281?dnej zw\u322?oki, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczno\u347?ci co do zakresu danych osobowych, do kt\u243?rych mia\u322? dost\u281?p by\u322?y pracownik Banku oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie post\u281?powania dowodowego \u380?e by\u322?y pracownik Banku zg\u322?aszaj\u261?c samodzielnie nieprawid\u322?owo\u347?\u263?, m\u243?g\u322?by wykorzysta\u263? w spos\u243?b bezprawny dost\u281?p do danych osobowych pracownik\u243?w skar\u380?\u261?cego. Bank poda\u322?, \u380?e dzia\u322?a\u322? w oparciu o wyj\u261?tek przedstawiony w wytycznych dotycz\u261?cych zg\u322?aszania narusze\u324? ochrony danych osobowych zgodnie z RODO, WP250 rev.O1 - wydanymi przez Grup\u281? Robocz\u261? art. 29 - administrator w okre\u347?lonych sytuacjach mo\u380?e uzna\u263? nieuprawnionego odbiorc\u281? danych za "zaufanego". Administrator mo\u380?e ufa\u263? odbiorcy na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania. Nawet je\u380?eli do danych uzyskano wgl\u261?d, administrator nadal mo\u380?e mie\u263? zaufanie do odbiorcy, \u380?e nie podejmie on \u380?adnych dalszych dzia\u322?a\u324? w kwestii tych danych oraz \u380?e niezw\u322?ocznie zwr\u243?ci dane do administratora i b\u281?dzie wsp\u243?\u322?pracowa\u263? przy ich odzyskaniu. W tym kontek\u347?cie Bank podni\u243?s\u322?, \u380?e osoba nieuprawniona do dost\u281?pu do danych w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r. by\u322?a wieloletnim pracownikiem dzia\u322?u [...], kt\u243?rej obowi\u261?zki zawodowe zwi\u261?zane by\u322?y m.in. z prac\u261? na danych osobowych w systemie PUE ZUS. By\u322?y pracownik Banku by\u322? zobowi\u261?zany do zachowania tajemnicy i poufno\u347?ci danych osobowych bezterminowo. Ponadto, by\u322?y pracownik Banku by\u322? upowa\u380?niony do przetwarzania danych osobowych w imieniu Banku i z\u322?o\u380?y\u322? stosowne o\u347?wiadczenie, \u380?e zapozna\u322? si\u281? z zasadami post\u281?powania z danymi osobowymi w B. S.A., rozumie je i wyra\u380?a zgod\u281? na ich przestrzeganie. By\u322?emu pracownikowi Banku, zgodnie z obowi\u261?zuj\u261?cymi w Banku regu\u322?ami, udzielono na podstawie art. 29 RODO upowa\u380?nienia do przetwarzania danych osobowych w celach zwi\u261?zanych z wykonywaniem obowi\u261?zk\u243?w na zajmowanym stanowisku oraz do obs\u322?ugi systemu informatycznego i urz\u261?dze\u324? wchodz\u261?cych w jego sk\u322?ad. Upowa\u380?nienie udzielono wy\u322?\u261?cznie w zakresie wynikaj\u261?cym z zada\u324? s\u322?u\u380?bowych oraz polece\u324? s\u322?u\u380?bowych wynikaj\u261?cych z realizacji zawartego stosunku umownego. Upowa\u380?nienie obejmowa\u322?o uprawnienie do przetwarzania danych osobowych gromadzonych i przetwarzanych w formie papierowej i elektronicznej, zobowi\u261?zywa\u322?o do zachowania poufno\u347?ci danych i traci\u322?o wa\u380?no\u347?\u263? z chwil\u261? jego cofni\u281?cia lub ustania stosunku umownego wi\u261?\u380?\u261?cego upowa\u380?nionego z Bankiem. Bank zaznaczy\u322?, \u380?e wyga\u347?ni\u281?cie upowa\u380?nienia nie zwalnia z zachowania przez upowa\u380?nionego poufno\u347?ci informacji. Bank zaznaczy\u322?, \u380?e to by\u322?y pracownik Banku samodzielnie zg\u322?osi\u322? nieuprawniony dost\u281?p, o czym powzi\u261?\u322? wiedz\u281? loguj\u261?c si\u281? do PUE ZUS w ramach wykonywania obowi\u261?zk\u243?w pracowniczych na rzecz innego podmiotu \u8211? nowego pracodawcy. W ocenie Banku trudno zatem aprobowa\u263? pogl\u261?d organu, kt\u243?ry sprowadza si\u281? do uznania, \u380?e nieuprawniony odbiorca jest zainteresowany wyrz\u261?dzeniem szkody podmiotom danych, tj. podj\u281?cia takich dzia\u322?a\u324?, kt\u243?re przes\u261?dzaj\u261?, \u380?e zachodzi wysokie ryzyko naruszenia praw i wolno\u347?ci pracownik\u243?w Banku;
\par 
\par 2. art. 34 ust. 4 RODO poprzez uznanie, \u380?e wystarczaj\u261?ce jest samo wyst\u261?pienie ryzyka naruszenia praw i wolno\u347?ci, podczas gdy niezb\u281?dne jest, aby takie prawdopodobie\u324?stwo wyst\u261?pienia dotyczy\u322?y wysokiego ryzyka;
\par 
\par 3. art. 83 ust. 1 w zw. z art. 83 ust. 2 RODO polegaj\u261?ce na wymierzeniu Bankowi pieni\u281?\u380?nej kary administracyjnej za naruszenie przepis\u243?w ww. rozporz\u261?dzenia, uznaj\u261?c b\u322?\u281?dnie, \u380?e zaistnia\u322? obowi\u261?zek informacyjny, gdy\u380? naruszenie mia\u322?o znaczn\u261? wag\u281? i powa\u380?ny charakter, w sytuacji kiedy brak jest jednoznacznie potwierdzonych okoliczno\u347?ci co do zakresu danych osobowych, do kt\u243?rych mia\u322? dost\u281?p by\u322?y pracownik skar\u380?\u261?cego oraz brak jest podstaw do jednoznacznego wniosku, z uwagi na nieprzeprowadzenie post\u281?powania dowodowego, \u380?e by\u322?y pracownik zg\u322?aszaj\u261?c samodzielnie nieprawid\u322?owo\u347?\u263?, m\u243?g\u322?by wykorzysta\u263? w spos\u243?b bezprawny dost\u281?p do danych osobowych pracownik\u243?w Banku;
\par 
\par 4. naruszenie art. 83 ust. 1-3, art. 83 ust. 4 lit. a w zwi\u261?zku z art. 58 ust. 2 lit. i RODO, poprzez niew\u322?a\u347?ciwe zastosowanie i wymierzenie Bankowi pieni\u281?\u380?nej kary administracyjnej w kwocie 545.748 z\u322?, w sytuacji kiedy, zebrany w sprawie materia\u322? dowodowy jest niepe\u322?ny - w szczeg\u243?lno\u347?ci brak stanowiska operatora portalu PUE ZUS - Zak\u322?ad Ubezpiecze\u324? Spo\u322?ecznych co do log\u243?w i wszelkich zapis\u243?w systemu informatycznego - platformy PUE ZUS - nie daje podstaw do jednoznacznego stwierdzenia, \u380?e Bank dopu\u347?ci\u322? si\u281? naruszenia art. 34 ust. 1 RODO, kt\u243?rych naruszenie skutkowa\u322?oby zasadno\u347?ci\u261? na\u322?o\u380?enia sankcji finansowej na Bank;
\par 
\par 5. art. 83 ust. 1 w zwi\u261?zku z art. 83 ust. 2 lit. f RODO w zwi\u261?zku z art. 8 \u167? 1 Kodeksu post\u281?powania administracyjnego polegaj\u261?ce na wymierzeniu Bankowi pieni\u281?\u380?nej kary administracyjnej za naruszenie przepis\u243?w ww. rozporz\u261?dzenia, uznaj\u261?c b\u322?\u281?dnie, \u380?e wsp\u243?\u322?praca skar\u380?\u261?cego by\u322?a "niezadowalaj\u261?ca", w sytuacji kiedy analiza materia\u322?u dowodowego w niniejszej sprawie prowadzi do zgo\u322?a odmiennego wniosku, przede wszystkim to Bank wykona\u322? w terminie ci\u261?\u380?\u261?cy na nim obowi\u261?zek okre\u347?lony w art. 33 ust. 1 RODO, tj. dokona\u322? zg\u322?oszenia organowi o stwierdzonym naruszeniu ochrony danych osobowych, nadto do\u322?o\u380?y\u322? nale\u380?ytej staranno\u347?ci i terminowo\u347?ci w kontakcie z organem i nie uchybi\u322? swoim obowi\u261?zkom w tym zakresie, przyczyni\u322? si\u281? do ustalenia ca\u322?okszta\u322?tu okoliczno\u347?ci sprawy oraz przedstawi\u322? wszelkie niezb\u281?dne dokumenty i informacje;
\par 
\par 6. art. 7 oraz art. 77 \u167? 1 Kodeksu post\u281?powania administracyjnego poprzez niewyja\u347?nienie wszystkich okoliczno\u347?ci faktycznych i brak ustalenia w jakim zakresie by\u322?y pracownik Banku - zobligowany do bezterminowego obowi\u261?zku zachowania tajemnicy - mia\u322? dost\u281?p do danych pracownik\u243?w skar\u380?\u261?cego w ramach PUE ZUS, i czy z niego korzysta\u322?;
\par 
\par 7. art. 75 \u167? 1 oraz art. 77 \u167? 1, a tak\u380?e art. 80 Kodeksu post\u281?powania administracyjnego, poprzez brak przeprowadzenia jakiegokolwiek post\u281?powania dowodowego w zakresie ustalenia w jakim zakresie by\u322?y pracownik Banku - zobligowany do bezterminowego obowi\u261?zku zachowania tajemnicy - mia\u322? dost\u281?p do danych pracownik\u243?w skar\u380?\u261?cego w ramach PUE ZUS, i czy z niego korzysta\u322?;
\par 
\par 8. art. 78 \u167? 1 oraz art. 77 \u167? 1, a tak\u380?e art. 80 Kodeksu post\u281?powania administracyjnego, poprzez brak uwzgl\u281?dnienia wniosk\u243?w dowodowych skar\u380?\u261?cego zawartych w pi\u347?mie z dnia 22 lipca 2021 r. pomimo, \u380?e zmierza\u322?y one do ustalenia okoliczno\u347?ci maj\u261?cych znaczenie dla sprawy, tj. wykazania, \u380?e w sprawie nie dosz\u322?o do naruszenia ochrony danych osobowych skutkuj\u261?cym wysokim ryzykiem naruszenia praw i wolno\u347?ci podmiot\u243?w danych;
\par 
\par 9. art. 80 Kodeksu post\u281?powania administracyjnego, poprzez przekroczenie granic swobodnej oceny dowod\u243?w i dokonanie dowolnej, niezgodnej z ca\u322?okszta\u322?tem zebranego w sprawie materia\u322?u dowodowego oceny, a w konsekwencji uznanie, \u380?e w sprawie dosz\u322?o do naruszenia ochrony danych osobowych skutkuj\u261?cym wysokim ryzykiem naruszenia praw i wolno\u347?ci podmiot\u243?w danych.
\par 
\par W odpowiedzi na skarg\u281? organ wni\u243?s\u322? o jej oddalenie w ca\u322?o\u347?ci podtrzymuj\u261?c w ca\u322?o\u347?ci stanowisko wyra\u380?one w zaskar\u380?onej decyzji.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie wyrokiem z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 oddali\u322? skarg\u281? Banku na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr DKN.5131.33.2021 w przedmiocie przetwarzania danych osobowych.
\par 
\par W uzasadnieniu wyroku S\u261?d I instancji wyja\u347?ni\u322?, \u380?e istota sprawy w niniejszym post\u281?powaniu sprowadza\u322?a si\u281? do oceny tego, czy organ przy wydawaniu skar\u380?onej decyzji porusza\u322? si\u281? w granicach prawa. W ocenie Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie na ww. postawione pytanie nale\u380?a\u322?o udzieli\u263? pozytywnej odpowiedzi.
\par 
\par Zdaniem S\u261?du I instancji organ poprawnie ustali\u322? fakt naruszenia ochrony danych osobowych, o kt\u243?rym administrator danych powinien powiadomi\u263? osoby, kt\u243?rych danych dotyczy\u322?o owo naruszenie. Okoliczno\u347?ci\u261? niesporn\u261? jest przecie\u380? to, \u380?e by\u322?y pracownik Banku, po zako\u324?czeniu stosunku zatrudnienia, posiada\u322? nadal mo\u380?liwo\u347?\u263? logowania si\u281? do platformy PUE ZUS, a poprzez to posiada\u322? dost\u281?p do danych pracownik\u243?w Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia. Wojew\u243?dzki S\u261?d Administracyjny w Warszawie zauwa\u380?y\u322?, \u380?e poza sporem by\u322?a te\u380? okoliczno\u347?\u263?, \u380?e \u243?w by\u322?y pracownik Banku skorzysta\u322? z tego nieuprawnionego przywileju i logowa\u322? si\u281? pi\u281?ciokrotnie do platformy PUE ZUS (w nast\u281?puj\u261?cych terminach: 2020-06-30, godz. 21:09:54; 2020-06-30, godz. 21:00:42; 2020-06-30, godz. 21:02:37; 2020-10-26, godz. 22:01:27; 2021-02-03, godz. 20:50:14), zyskuj\u261?c tym samym nieuprawniony wgl\u261?d w dane osobowe pracownik\u243?w Banku. S\u261?d I instancji stwierdzi\u322?, \u380?e z powy\u380?szego organ w spos\u243?b uprawniony wywi\u243?d\u322?, \u380?e sama mo\u380?liwo\u347?\u263? nieograniczonego dost\u281?pu przez by\u322?ego pracownika Banku, do wielce wra\u380?liwych danych znajduj\u261?cych si\u281? na platformie PUE ZUS, kt\u243?re to dane dotyczy\u322?y a\u380? 10 500 os\u243?b, powoduje istnienie wysokiego ryzyka dla praw i wolno\u347?ci os\u243?b, kt\u243?rych danych m\u243?g\u322? dotyczy\u263? ten nieuprawniony dost\u281?p. O wysokim ryzyku \u347?wiadczy bowiem nie tylko zakres danych zgromadzonych na platformie PUE ZUS, ale te\u380? bardzo d\u322?ugi czas, w jakim Bank tolerowa\u322? omawiany nieuprawniony dost\u281?p do tych danych by\u322?emu pracownikowi, jak te\u380? oczywi\u347?cie liczba os\u243?b dotkni\u281?tych potencjalnym naruszeniem ich danych osobowych.
\par 
\par Bior\u261?c powy\u380?sze pod uwag\u281?, Wojew\u243?dzki S\u261?d Administracyjny w Warszawie stwierdzi\u322?, \u380?e skoro wi\u281?c zaistnia\u322?o wysokie ryzyko dla praw i wolno\u347?ci os\u243?b, organ mia\u322? bezwzgl\u281?dny obowi\u261?zek dokona\u263? zawiadomienia o jakim mowa w art. 34 RODO.
\par 
\par S\u261?d I instancji doda\u322?, \u380?e Bank w swojej argumentacji w spos\u243?b niew\u322?a\u347?ciwy odwo\u322?uje si\u281? do prawno-karnego poj\u281?cia zamiaru bezpo\u347?redniego czy ewentualnego i wyja\u347?ni\u322?, \u380?e w realiach prawnych niniejszej sprawy nie jest bowiem konieczne ustalenie, \u380?e administrator danych umy\u347?lnie zaniecha\u322? omawianego zawiadamiania dla dokonania czynu zabronionego (czego z reszt\u261? organ nigdy nie suponowa\u322? Bankowi). Dla rozstrzygni\u281?cia skargi wystarczy ustalenie, \u380?e b\u281?d\u261?c nawet w b\u322?\u281?dzie co do braku wyst\u261?pienia wysokiego ryzyka, administrator danych nie dokona\u322? stosownego zawiadomienia.
\par 
\par S\u261?d I instancji stwierdzi\u322?, \u380?e Bank nie wywi\u261?za\u322? si\u281? z omawianego obowi\u261?zku zawiadomienia, zamieszczaj\u261?c informacj\u281? w systemie Intranet. Z tre\u347?ci komunikatu Banku nie wynika bowiem to, aby dotyczy\u322? on konkretnego naruszenia. Zatem osoby, kt\u243?rych danych dotyczy\u322?o naruszenie, nie mia\u322?y \u380?adnych powod\u243?w, by potraktowa\u263? go jako odnosz\u261?cy si\u281? do nich i odpowiednio zareagowa\u263?. Nie mo\u380?e tak\u380?e umyka\u263? okoliczno\u347?\u263?, \u380?e komunikat \u243?w skierowany zosta\u322? jedynie do obecnych pracownik\u243?w Banku, jako korzystaj\u261?cych z platformy komunikacji wewn\u281?trznej. W\u322?a\u347?ciwe zawiadomienie o naruszeniu powinno natomiast dotrze\u263? do wszystkich os\u243?b, kt\u243?re by\u322?y zatrudnione w Banku w okresie, w kt\u243?rym dost\u281?p do danych dla osoby nieuprawnionej pozostawa\u322? otwarty, a kt\u243?re aktualnie mog\u261? ju\u380? w nim nie pracowa\u263?.
\par 
\par Zdaniem S\u261?du I instancji nie by\u322?o r\u243?wnie\u380? uzasadnionym, uznanie przez Bank swojego by\u322?ego pracownika, za odbiorc\u281? tzw. zaufanego. Wojew\u243?dzki S\u261?d Administracyjny w Warszawie wyja\u347?ni\u322?, \u380?e w my\u347?l wytycznych WP 250 odbiorca zaufany to odbiorca, kt\u243?remu administrator mo\u380?e ufa\u263? na tyle, aby m\u243?c racjonalnie oczekiwa\u263?, \u380?e strona ta nie odczyta omy\u322?kowo wys\u322?anych danych lub nie uzyska do nich wgl\u261?du oraz \u380?e wype\u322?ni polecenie ich odes\u322?ania. Nawet je\u380?eli do danych uzyskano wgl\u261?d, administrator nadal mo\u380?e mie\u263? zaufanie do odbiorcy, \u380?e nie podejmie on \u380?adnych dalszych dzia\u322?a\u324? w kwestii tych danych oraz \u380?e niezw\u322?ocznie zwr\u243?ci dane do administratora i b\u281?dzie wsp\u243?\u322?pracowa\u263? przy ich odzyskaniu. W takich przypadkach administrator mo\u380?e uwzgl\u281?dni\u263? t\u281? kwesti\u281? w ocenie ryzyka przeprowadzanej w nast\u281?pstwie naruszenia - fakt, \u380?e odbiorca jest zaufany mo\u380?e spowodowa\u263?, \u380?e skutki naruszenia nie b\u281?d\u261? powa\u380?ne, ale nie znaczy to, \u380?e naruszenie nie mia\u322?o miejsca.
\par 
\par Wobec tre\u347?ci powy\u380?szych wytycznych S\u261?d I instancji stwierdzi\u322?, \u380?e za w\u322?a\u347?ciwe nale\u380?a\u322?o uzna\u263? wywody organu, \u380?e status odbiorcy zaufanego posiadaj\u261? podmioty, kt\u243?re dzia\u322?aj\u261? w strukturach danej organizacji albo s\u261? np. dostawc\u261?, z kt\u243?rego us\u322?ug administrator stale korzysta. Pomi\u281?dzy podmiotami istnieje wi\u281?\u378? faktyczna, a nierzadko prawna, kt\u243?ra pozwala na ocen\u281? stopnia zaufania stron. W przypadku takiego odbiorcy administrator mo\u380?e przyj\u261?\u263? domniemanie, \u380?e zna on obowi\u261?zuj\u261?ce procedury w zakresie ochrony danych osobowych i \u380?e zachowa si\u281? w odpowiedni spos\u243?b. W zwi\u261?zku z powy\u380?szym S\u261?d I instancji zauwa\u380?y\u322?, \u380?e w przedmiotowej sprawie, pomi\u281?dzy by\u322?ym pracownikiem a administratorem nie istnia\u322? za\u347? ju\u380? \u380?aden stosunek obligacyjny, ani \u380?adna inna wi\u281?\u378? o charakterze prawnym. Przypuszczenia Banku co do w\u322?a\u347?ciwego post\u281?powania przez by\u322?ego pracownika z danymi osobowymi, nie wynika\u322?o wi\u281?c z konkretnych, sprawdzalnych i weryfikowalnych okoliczno\u347?ci. Jako takie, nie mog\u322?y w spos\u243?b skuteczny uzasadnia\u263? domniemania o istnieniu tzw. odbiorcy zaufanego. Ustanie zatrudnienia jest przecie\u380? r\u243?wnoznaczne z zerwaniem dotychczasowej wi\u281?zi prawnej miedzy stronami stosunku pracy i zobowi\u261?zuje strony do "rozliczenia si\u281?" z wzajemnych obowi\u261?zk\u243?w wynikaj\u261?cych z zako\u324?czonej umowy. S\u261?d I instancji zaznaczy\u322?, \u380?e w chwili ustania stosunku pracy przestaje obowi\u261?zywa\u263? zasada wyra\u380?ona w art. 100 \u167? 2 Kodeksu pracy, tj. zasada szczeg\u243?lnej lojalno\u347?ci pracownika wzgl\u281?dem pracodawcy wyra\u380?aj\u261?ca si\u281? chocia\u380?by w obowi\u261?zku dbania o dobro zak\u322?adu pracy, chronienia jego mienia oraz zachowania w tajemnicy informacji, kt\u243?rych ujawnienie mog\u322?oby narazi\u263? pracodawc\u281? na szkod\u281?. Rozumiany w ten spos\u243?b obowi\u261?zek dochowania lojalno\u347?ci wynika z samego faktu nawi\u261?zania stosunku pracy i wi\u261?\u380?e strony jedynie przez ca\u322?y okres jego trwania, a\u380? do momentu, w kt\u243?rym ustaje.
\par 
\par Bior\u261?c powy\u380?sze pod uwag\u281? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie stwierdzi\u322?, \u380?e trafnie wi\u281?c zauwa\u380?y\u322? organ, \u380?e o ile fakt bycia wieloletnim pracownikiem Banku (praca w Dziale [...], posiadanie upowa\u380?nienia do przetwarzania danych osobowych w imieniu Banku) mo\u380?e wskazywa\u263? na du\u380?e do\u347?wiadczenie i wiedz\u281? podmiotu nieuprawnionego, o tyle fakt, \u380?e logowania do platformy PUE ZUS mia\u322?y miejsce ju\u380? po ustaniu stosunku pracy, cz\u281?stotliwo\u347?\u263? tych logowa\u324? i odst\u281?py czasu pomi\u281?dzy poszczeg\u243?lnymi logowaniami, wskazuj\u261? na dzia\u322?anie celowe, a nie przypadkowe by\u322?ego pracownika Banku - w \u380?adnym razie zatem nie uzasadniaj\u261? posiadanego zaufania pracodawcy do by\u322?ego pracownika.
\par 
\par Wbrew twierdzeniom Banku zdaniem S\u261?du I instancji brak ustalenia zakresu danych osobowych, z jakimi faktycznie zapozna\u322? si\u281? by\u322?y pracownik podczas nieuprawnionych logowa\u324?, nie uniemo\u380?liwia\u322? wydania skar\u380?onej decyzji. W tym miejscu Wojew\u243?dzki S\u261?d Administracyjny w Warszawie przypomnia\u322?, \u380?e \u243?w by\u322?y pracownik mia\u322? dost\u281?p do takich samych danych, do jakich dost\u281?p posiada\u322? w okresie, gdy by\u322? jeszcze zatrudniony w Banku. Mia\u322? wi\u281?c de facto nieograniczony dost\u281?p do bardzo wra\u380?liwych danych osobowych wszystkich pracownik\u243?w Banku, jakie znajdowa\u322?y si\u281? na platformie PUE ZUS. Nie jest istotne to, czy osoba nieuprawniona faktycznie zapozna\u322?a si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko (mia\u322?a mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - \u380?e wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych.
\par 
\par Nast\u281?pnie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie przywo\u322?a\u322? pogl\u261?d zaprezentowany przez tut. S\u261?d w wyroku z dnia 22 wrze\u347?nia 2021 r., sygn. akt II SA/Wa 791/21, rozstrzygaj\u261?c w przedmiocie administracyjnej kary pieni\u281?\u380?nej na\u322?o\u380?onej na \u346?l\u261?ski [...] , w kt\u243?rym S\u261?d stwierdzi\u322?, \u380?e "(...) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszed\u322? w posiadanie i zapozna\u322? si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, a w konsekwencji r\u243?wnie\u380? potencjalnie wyst\u261?pi\u322?o ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, bowiem "mo\u380?liwe konsekwencje zaistnia\u322?ego zdarzenia nie musz\u261? si\u281? zmaterializowa\u263?. W tre\u347?ci art. 33 ust. 1 rozporz\u261?dzenia 2016/679 wskazano, \u380?e samo wyst\u261?pienie naruszenia ochrony danych osobowych, z kt\u243?rym wi\u261?\u380?e si\u281? ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, implikuje obowi\u261?zek zg\u322?oszenia naruszenia w\u322?a\u347?ciwemu organowi nadzorczemu, chyba \u380?e jest ma\u322?o prawdopodobne, by naruszenie to skutkowa\u322?o ryzykiem naruszenia praw \u322?ub wolno\u347?ci os\u243?b fizycznych. Zatem podnoszona przez Administratora okoliczno\u347?\u263?, \u380?e cyt.: "nie wp\u322?yn\u281?\u322?a do Uczelni \u380?adna informacja mog\u261?ca mie\u263? wp\u322?yw na zmian\u281? poziomu ryzyka albo wymagaj\u261?ca podj\u281?cia innych \u347?rodk\u243?w technicznych i organizacyjnych rozszerzaj\u261?cych katalog podj\u281?tych dzia\u322?a\u324?" pozostaje irrelewantna dla stwierdzenia istnienia po stronie Administratora obowi\u261?zku zg\u322?oszenia przedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodnie z powy\u380?szym przepisem".
\par 
\par W \u347?wietle powy\u380?szych wywod\u243?w S\u261?d I instancji uzna\u322?, \u380?e jako w\u322?a\u347?ciwe jawi\u322?o si\u281? post\u281?powanie organu polegaj\u261?ce na nieuwzgl\u281?dnieniu wskazanych przez Bank w pi\u347?mie z dnia 22 lipca 2021 r. wniosk\u243?w dowodowych, bowiem okoliczno\u347?ci na jakie mia\u322?yby zosta\u263? przeprowadzone wnioskowane dowody, pozostawa\u322?y bez wp\u322?ywu na rozstrzygni\u281?cie.
\par 
\par Przechodz\u261?c do oceny motyw\u243?w na\u322?o\u380?enia administracyjnej kary pieni\u281?\u380?nej S\u261?d I instancji wyja\u347?ni\u322?, \u380?e czynno\u347?\u263? organu w ww. zakresie nale\u380?y do kategorii tzw. uznania administracyjnego. St\u261?d jej ocena ograniczona jest do badania, czy uzasadnienie dla zastosowania omawianego \u347?rodka zosta\u322?o sporz\u261?dzone w spos\u243?b wyczerpuj\u261?cy i przekonuj\u261?cy.
\par 
\par Zdaniem Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie, badane uzasadnienie skar\u380?onej decyzji spe\u322?nia powy\u380?sze kryteria. Organ nak\u322?adaj\u261?c kar\u281? wzi\u261?\u322? pod uwag\u281? kluczowe dla sprawy przes\u322?anki, a wnioski jakie wysnu\u322? z ich analizy S\u261?d I instancji potraktowa\u322? jako uprawnione zar\u243?wno z punktu widzenia zgodno\u347?ci z prawem, jak i z zasadami logicznego rozumowania.
\par 
\par W ocenie Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie organ zasadnie uzna\u322?, \u380?e naruszenie, polegaj\u261?ce na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zb\u281?dnej zw\u322?oki os\u243?b, kt\u243?rych dane dotycz\u261?, ma znaczn\u261? wag\u281? i powa\u380?ny charakter, poniewa\u380? brak wiedzy o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?, a tym samym brak mo\u380?liwo\u347?ci podj\u281?cia przez te osoby dzia\u322?a\u324? zaradczych i w\u322?a\u347?ciwych krok\u243?w w celu ochrony swoich praw, mo\u380?e doprowadzi\u263? do szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych dla os\u243?b, kt\u243?rych dane zosta\u322?y naruszone, a prawdopodobie\u324?stwo ich wyst\u261?pienia jest wysokie. Zdaniem S\u261?du I instancji s\u322?usznie organ przyj\u261?\u322?, \u380?e nie bez znaczenia pozostaje r\u243?wnie\u380? d\u322?ugi czas trwania tego naruszenia, oraz \u380?e dotyczy\u322?o 10 500 os\u243?b.
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie stwierdzi\u322?, \u380?e trafne s\u261? te\u380? konkluzje o \u347?wiadomym zrezygnowaniu przez Bank z omawianego zawiadamiania i zauwa\u380?y\u322?, \u380?e tej okoliczno\u347?ci Bank de facto przecie\u380? nie kwestionuje gdy\u380? nie podnosi, by zaniechanie to by\u322?o skutkiem np. zapomnienia t\u322?umacz\u261?c, \u380?e by\u322?o skutkiem dokonanej przez Bank analizy ryzyka.
\par 
\par S\u261?d I instancji doda\u322?, \u380?e wcze\u347?niejsze naruszenia zasad realizacji przez Bank nakaz\u243?w RODO r\u243?wnie\u380? rzutuj\u261? po\u347?rednio na wymierzon\u261? kar\u281?, gdy\u380? \u347?wiadcz\u261? o tym, \u380?e wcze\u347?niej stosowane przez organ \u347?rodki dyscyplinuj\u261?ce administratora danych, nie przynios\u322?y po\u380?\u261?danych efekt\u243?w. Zdaniem Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie zasadne by\u322?y te\u380? wnioski organu o braku zadawalaj\u261?cej wsp\u243?\u322?pracy z Bankiem skoro do poprawnego zawiadomienia os\u243?b, kt\u243?rych dotyczy\u322?o sporne naruszenie dosz\u322?o dopiero po wydaniu skar\u380?onej decyzji (pomimo uwag organu artyku\u322?owanych ju\u380? na pocz\u261?tku trwania post\u281?powania administracyjnego).
\par 
\par Wojew\u243?dzki S\u261?d Administracyjny w Warszawie wskaza\u322? tak\u380?e, \u380?e oczywistym r\u243?wnie\u380? by\u322?o, \u380?e organ okre\u347?laj\u261?c wymiar kary musia\u322? uwzgl\u281?dni\u263? fakt, \u380?e naruszenie dotyczy\u322?o danych o wielkiej wra\u380?liwo\u347?ci (m.in. PESEL, adres, dane o stanie zdrowia).
\par 
\par Konkluduj\u261?c niniejsz\u261? cz\u281?\u347?\u263? rozwa\u380?a\u324?, S\u261?d I instancji wskaza\u322?, \u380?e wymierzon\u261? kar\u281? pieni\u281?\u380?n\u261? nale\u380?a\u322?o uzna\u263? za wywa\u380?on\u261? i spe\u322?niaj\u261?c\u261? kryteria zar\u243?wno prewencyjne jak i opresyjne.
\par 
\par Skarg\u281? kasacyjn\u261? od powy\u380?szego wyroku wywi\u243?d\u322? Bank i zaskar\u380?aj\u261?c ten wyrok w ca\u322?o\u347?ci oraz wnosz\u261?c o uchylenie zaskar\u380?onego wyroku w ca\u322?o\u347?ci i przekazanie sprawy do ponownego rozpoznania Wojew\u243?dzkiemu S\u261?dowi Administracyjnemu w Warszawie, a tak\u380?e rozpoznanie skargi kasacyjnej na rozprawie i zas\u261?dzenie od organu na rzecz skar\u380?\u261?cego kasacyjnie zwrotu koszt\u243?w post\u281?powania kasacyjnego, w tym koszt\u243?w zast\u281?pstwa procesowego wed\u322?ug norm przepisanych, zarzuci\u322? zaskar\u380?onemu rozstrzygni\u281?ciu:
\par 
\par I. na podstawie art. 174 pkt 1 ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi naruszenie prawa materialnego, tj.:
\par 
\par 1. art. 34 ust. 1 RODO, poprzez b\u322?\u281?dn\u261? jego wyk\u322?adni\u281? polegaj\u261?c\u261? na uznaniu, \u380?e zakres danych hipotetycznie ujawnionych osobie nieuprawnionej decyduje o wyst\u261?pieniu wysokiego ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych (pracownik\u243?w banku), podczas gdy prawodawca unijny nie uzale\u380?ni\u322? w przepisie art. 34 ust. 1 RODO wyst\u261?pienia wysokiego ryzyka praw i wolno\u347?ci osoby fizycznej od zakresu danych, lecz od szerszych okoliczno\u347?ci, takich jak: charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutk\u243?w dla osoby, kt\u243?rej dane dotycz\u261? (motyw 87 RODO); a nadto poprzez pomini\u281?cie elementu prawdopodobie\u324?stwa przy wyk\u322?adni ww. przepisu, podczas gdy przy wycenie ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych koniecznym jest uwzgl\u281?dnienie prawdopodobie\u324?stwa, \u380?e naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wyst\u261?pienia negatywnych skutk\u243?w dla os\u243?b fizycznych (m.in. motyw 86, 88 i 90 RODO);
\par 
\par 2. art. 34 ust. 1 RODO, poprzez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281? polegaj\u261?c\u261? na uznaniu, \u380?e nie jest istotne to, czy nieuprawniony odbiorca danych (by\u322?y pracownik departamentu [...]) faktycznie zapozna\u322? si\u281? z danymi, do kt\u243?rych posiada\u322? hipotetyczny dost\u281?p, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko (mia\u322? mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi), co w konsekwencji oznacza - z uwagi na zakres danych - \u380?e wyst\u261?pi\u322?o wysokie ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych. podczas gdy przy wycenie ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych koniecznym jest uwzgl\u281?dnienie szerszych okoliczno\u347?ci, takich jak: charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutk\u243?w dla osoby, kt\u243?rej dane dotycz\u261? oraz prawdopodobie\u324?stwa, \u380?e naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wyst\u261?pienia negatywnych skutk\u243?w dla os\u243?b fizycznych (m.in. motyw 86, 87, 88 i 90 RODO);
\par 
\par 3. art. 34 ust. 1 RODO, poprzez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281? i w konsekwencji przyj\u281?cie, \u380?e nieuprawniony odbiorca (by\u322?y pracownik departamentu [...]) nie mia\u322? statusu zaufanego odbiorcy w my\u347?l wytycznych WP250 rev.01 - wydanych przez Grup\u281? Robocz\u261? art. 29 (obecnie Europejska Rada Ochrony Danych) podczas, gdy administrator w okre\u347?lonych sytuacjach mo\u380?e uzna\u263? nieuprawnionego odbiorc\u281? danych za "zaufanego", a taka sytuacja mia\u322?a miejsce w rozpoznawanej sprawie;
\par 
\par 4. art. 34 ust. 3 lit. a RODO, poprzez jego niezastosowanie, a w konsekwencji nieuprawnione uznanie, \u380?e Bank nie zastosowa\u322? \u347?rodk\u243?w bezpiecze\u324?stwa, kt\u243?re obni\u380?y\u322?y ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych do poziomu przynajmniej \u347?redniego, podczas gdy Bank posiada\u322? od nieuprawnionego odbiorcy (by\u322?ego pracownika departamentu [...] na stanowisku kierowniczym) o\u347?wiadczenie o bezterminowym zachowaniu tajemnicy i poufno\u347?ci, a pracownik ten podlega\u322? szkoleniom z zakresu ochrony danych osobowych, nadto Platforma Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych stosuje techniczne \u347?rodki bezpiecze\u324?stwa, takie jak uwierzytelnianie u\u380?ytkownik\u243?w i dost\u281?p oparty na rolach, a dzia\u322?ania u\u380?ytkownik\u243?w zapisywane s\u261? w logach;
\par 
\par 5. art. 4 pkt 15 RODO, poprzez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281? i niew\u322?a\u347?ciwe zastosowanie oraz art. 58 ust. 1 ustawy o \u347?wiadczeniach pieni\u281?\u380?nych z ubezpieczenia spo\u322?ecznego w razie choroby i macierzy\u324?stwa, poprzez jego niezastosowanie, a w konsekwencji uznanie, \u380?e dane zawarte na Platformie Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych w postaci elektronicznych zwolnie\u324? lekarskich (dalej jako: "E-ZLA") stanowi\u261? dane dotycz\u261?ce zdrowia, a w konsekwencji maj\u261? wp\u322?yw na wymiar kary pieni\u281?\u380?nej (jej podwy\u380?szenie) wymierzonej Bankowi, podczas gdy informacje zawarte w E-ZLA nie stanowi\u261? danych dotycz\u261?cych zdrowia, bowiem nie s\u261? informacjami o stanie zdrowia osoby fizycznej;
\par 
\par II. na podstawie art. 174 pkt 2 ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi naruszenie przepis\u243?w post\u281?powania, kt\u243?re mog\u322?o mie\u263? istotny wp\u322?yw na wynik sprawy:
\par 
\par 1. art. 151 ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi, poprzez nieuprawnione zastosowanie, spowodowane niedostrze\u380?eniem wad procesowych post\u281?powania administracyjnego, w sytuacji, gdy skar\u380?\u261?cy wykaza\u322?, \u380?e post\u281?powanie organu nadzorczego dotkni\u281?te by\u322?o wadami, kt\u243?re uniemo\u380?liwi\u322?y prawid\u322?owe ustalenie stanu faktycznego w sprawie, albowiem organ wbrew art. 7, art. 75 \u167? 1, art. 77 \u167? 1 oraz art. 80 Kodeksu post\u281?powania administracyjnego:
\par 
\par a) nie ustali\u322? do jakich danych osobowych nieuprawniony odbiorca (by\u322?y pracownik departamentu [...]) mia\u322? faktyczny dost\u281?p i czy z tego dost\u281?pu korzysta\u322?, albowiem zaniecha\u322? zwr\u243?cenia si\u281? do Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych w celu ustalenia tych okoliczno\u347?ci podczas, gdy okoliczno\u347?ci te mia\u322?y znaczenie dla oszacowania wysoko\u347?ci ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych (pracownik\u243?w Banku) oraz wymiaru kary pieni\u281?\u380?nej; a tak\u380?e zaniecha\u322? ustalenia zakresu danych osobowych w stosunku do konkretnej osoby fizycznej, co mia\u322?o wp\u322?yw na wysoko\u347?\u263? kary pieni\u281?\u380?nej wymierzonej Bankowi, albowiem a priori organ (a nast\u281?pnie S\u261?d I instancji) uzna\u322?, \u380?e na PUE ZUS znajduj\u261? si\u281? dane osobowe szczeg\u243?lnej kategorii;
\par 
\par b) nie ustali\u322?, czy nieuprawniony hipotetyczny dost\u281?p (by\u322?ego pracownika departamentu [...]) dotyczy\u322? danych osobowych pracownik\u243?w Banku, do kt\u243?rych ww. pracownik mia\u322? wcze\u347?niej dost\u281?p (kt\u243?re zna\u322?), czy r\u243?wnie\u380? os\u243?b zatrudnionych po ustaniu stosunku pracy z tym pracownikiem, albowiem zaniecha\u322? zwr\u243?cenia si\u281? do Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych podczas, gdy okoliczno\u347?\u263? ta mia\u322?a znaczenie dla oszacowania wysoko\u347?ci ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych (pracownik\u243?w Banku) oraz wymiaru kary pieni\u281?\u380?nej;
\par 
\par c) nie przeprowadzi\u322? dowodu z zezna\u324? \u347?wiadka J.S. (by\u322?ego pracownika departamentu [...], nieuprawnionego odbiorcy) na okoliczno\u347?\u263? korzystania z dost\u281?pu do PUE ZUS oraz celem ustalenia, czy by\u322?y pracownik zapoznawa\u322? si\u281? z danymi osobowymi na PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a je\u380?eli tak w jakim zakresie, podczas gdy okoliczno\u347?\u263? ta mia\u322?a znaczenie dla oszacowania wysoko\u347?ci ryzyka naruszenia praw i wolno\u347?ci podmiot\u243?w danych (pracownik\u243?w Banku) oraz wymiaru kary pieni\u281?\u380?nej, ani nie zwr\u243?ci\u322? si\u281? do ZUS celem ustalenia powy\u380?szej okoliczno\u347?ci;
\par 
\par d) zaniecha\u322? ustalenia \u8211? poprzesz brak zobowi\u261?zania operatora PUE ZUS do przedstawiania log\u243?w i wszelkich zapis\u243?w systemu informatycznego \u8211? z jakimi danymi osobowymi J.S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r., do dnia odebrania jej uprawnie\u324?, tj. 4 lutego 2021 r.;
\par 
\par 2. art. 1 \u167? 1 i 2 ustawy Prawo o ustroju s\u261?d\u243?w administracyjnych i art. 3 \u167? 1 i \u167? 2 pkt 1 w zwi\u261?zku z art. 141 \u167? 4 ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi, poprzez wadliwe uzasadnienie zaskar\u380?onego wyroku, nieodpowiadaj\u261?ce wymogom okre\u347?lonym w art. 141 \u167? 4 ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi polegaj\u261?ce na ca\u322?kowitym braku rozpoznania i dokonania oceny prawnej zaskar\u380?onej decyzji Prezesa Urz\u281?du Ochrony Danych Osobowych, w kontek\u347?cie wskazanych wy\u380?ej sprzeczno\u347?ci z przepisami prawa materialnego, a w szczeg\u243?lno\u347?ci podniesionego w skardze zarzutu naruszenia przez organ art. 34 ust. 1 RODO, i pomini\u281?cia elementu prawdopodobie\u324?stwa przy wycenie ryzyka naruszenia praw lub wolno\u347?ci osoby fizycznych, a nast\u281?pnie dania temu wyrazu w uzasadnieniu zaskar\u380?onego wyroku, podczas gdy S\u261?d winien oceni\u263? wszechstronnie kwesti\u281? prawid\u322?owo\u347?ci rozstrzygni\u281?cia administracyjnego, w tym z punktu widzenia zastosowania przepis\u243?w prawa materialnego, jak te\u380? odpowiednio to uzasadni\u263? - czego nie uczyni\u322?.
\par 
\par W uzasadnieniu skargi kasacyjnej strona skar\u380?\u261?ca kasacyjnie podnios\u322?a, \u380?e b\u322?\u281?dna wyk\u322?adnia art. 34 ust. 1 RODO dokonana przez S\u261?d I instancji polega\u322?a na uznaniu, \u380?e zakres danych hipotetycznie ujawnionych osobie nieuprawnionej decyduje o wyst\u261?pieniu wysokiego ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych (pracownik\u243?w Banku), podczas gdy prawodawca unijny nie uzale\u380?nia wyst\u261?pienia wysokiego ryzyka praw lub wolno\u347?ci osoby fizycznej od zakresu danych, lecz szerszych okoliczno\u347?ci, takich jak: charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutk\u243?w dla osoby fizycznej (por. motyw 87 RODO). Skar\u380?\u261?cy kasacyjnie podkre\u347?li\u322?, \u380?e przy ustaleniu wysokiego ryzyka, musi by\u263? bardzo prawdopodobne, \u380?e efektem naruszenia ochrony danych osobowych stanie si\u281? naruszenie praw lub wolno\u347?ci podmiotu danych. Je\u380?eli ryzyko to b\u281?dzie niskie lub \u347?rednie, w\u243?wczas przes\u322?anka zawarta w art. 34 ust. 1 RODO nie b\u281?dzie spe\u322?niona i w konsekwencji administrator nie b\u281?dzie mia\u322? obowi\u261?zku zawiadomienia podmiotu danych o naruszeniu.
\par 
\par Skar\u380?\u261?cy kasacyjnie podni\u243?s\u322?, \u380?e Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w spos\u243?b nieuprawniony przyj\u261?\u322?, \u380?e o wadze (poziomie) ryzyka decyduje wy\u322?\u261?cznie zakres danych, do kt\u243?rych by\u322?y pracownik banku mia\u322? hipotetyczny dost\u281?p, czas trwania tego dost\u281?pu, liczba os\u243?b dotkni\u281?tych naruszeniem. Jednocze\u347?nie skar\u380?\u261?cy kasacyjnie zwr\u243?ci\u322? uwag\u281?, \u380?e nie wiadomo co mia\u322? na my\u347?li S\u261?d I instancji pisz\u261?c o liczbie os\u243?b dotkni\u281?tych potencjalnym naruszeniem ich danych osobowych. Czym innym jest przecie\u380? naruszenie ochrony danych osobowych (tym bardziej potencjalne), a czym innym jest ryzyko naruszenia praw i wolno\u347?ci os\u243?b fizycznych. Jak podkre\u347?li\u322? skar\u380?\u261?cy kasacyjnie, naruszenie ochrony danych osobowych (zdarzenie) powoduje ryzyko o pewnym poziomie naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, a poziom ryzyka musi oceni\u263? administrator. Skar\u380?\u261?cy kasacyjnie doda\u322?, \u380?e niewiadomym jest r\u243?wnie\u380? jak mia\u322?aby wp\u322?ywa\u263? liczba os\u243?b dotkni\u281?tych zdarzeniem na ryzyko naruszenia praw lub wolno\u347?ci, bowiem liczba os\u243?b dotkni\u281?tych naruszeniem ma wp\u322?yw na wysoko\u347?\u263? kary (art. 83 ust. 2 RODO). Ryzyko za\u347? nale\u380?y oceni\u263? wzgl\u281?dem osoby dotkni\u281?tej naruszeniem, a nie dla og\u243?\u322?u. W ocenie skar\u380?\u261?cego kasacyjnie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie b\u322?\u281?dnie nie wzi\u261?\u322? pod uwag\u281? konsekwencji (w zasadzie ich braku) naruszenia ochrony danych osobowych oraz jego niekorzystnych skutk\u243?w, lecz za\u322?o\u380?y\u322? a priori, \u380?e o wysokim ryzyku decyduje przede wszystkim zakres danych osobowych zgromadzonych na PUE ZUS.
\par 
\par Skar\u380?\u261?cy kasacyjnie wskaza\u322? tak\u380?e, \u380?e S\u261?d I instancji nie wzi\u261?\u322? pod uwag\u281? wskazywanych przez niego w skardze okoliczno\u347?ci przemawiaj\u261?cych za uznaniem, \u380?e w sprawie nie dosz\u322?o do wysokiego ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych, tj. wieloletniego zatrudnienia nieuprawnionego odbiorcy na wysokim stanowisku w departamencie [...] i dotychczasowy dost\u281?p do platformy PUE ZUS w ramach tego zatrudnienia; bezterminowego obowi\u261?zku zachowania tajemnicy i poufno\u347?ci po stronie nieuprawnionego odbiorcy (\u347?rodek bezpiecze\u324?stwa o charakterze organizacyjnym); samodzielnego zg\u322?oszenia dost\u281?pu do konta PUE ZUS by\u322?ego pracodawcy (Banku) przez nieuprawnionego odbiorc\u281?; stosowania \u347?rodk\u243?w bezpiecze\u324?stwa na platformie PUE ZUS takich jak uwierzytelnianie u\u380?ytkownik\u243?w oraz dost\u281?p oparty na rolach (\u347?rodki bezpiecze\u324?stwa o charakterze technicznym/technologicznym). Tymczasem w ocenie skar\u380?\u261?cego kasacyjnie ww. okoliczno\u347?ci s\u322?usznie zosta\u322?y uwzgl\u281?dnione przez Bank przy wycenie poziomu ryzyka naruszenia praw lub wolno\u347?ci jego pracownik\u243?w. Jednocze\u347?nie zdaniem skar\u380?\u261?cego kasacyjnie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie bezzasadnie okoliczno\u347?ci tych nie wzi\u261?\u322? pod uwag\u281? przy wyk\u322?adni art. 34 ust 1 RODO, lecz uzna\u322?, \u380?e przepis ten dla wyceny ryzyka wymaga jedynie wzi\u281?cia pod uwag\u281? zakresu danych, do kt\u243?rych by\u322?y pracownik banku mia\u322? hipotetyczny dost\u281?p, czasu trwania tego dost\u281?pu, liczb\u281? os\u243?b dotkni\u281?tych naruszeniem.
\par 
\par Skar\u380?\u261?cy kasacyjnie wskaza\u322?, \u380?e naruszenia przez S\u261?d I instancji art. 34 ust. 1 RODO upatruje r\u243?wnie\u380? w pomini\u281?ciu elementu prawdopodobie\u324?stwa przy wyk\u322?adni ww. przepisu, podczas gdy przy wycenie ryzyka naruszenia praw i wolno\u347?ci os\u243?b fizycznych konieczne jest uwzgl\u281?dnienie prawdopodobie\u324?stwa, \u380?e naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wyst\u261?pienia negatywnych skutk\u243?w dla os\u243?b fizycznych. Zdaniem skar\u380?\u261?cego kasacyjnie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w og\u243?le nie wzi\u261?\u322? pod uwag\u281? prawdopodobie\u324?stwa, kt\u243?rego nie spos\u243?b oderwa\u263? od fakt\u243?w stosowania przez Bank takich \u347?rodk\u243?w bezpiecze\u324?stwa jak: bezterminowy obowi\u261?zek zachowania tajemnicy i poufno\u347?ci po stronie nieuprawnionego odbiorcy (\u347?rodek bezpiecze\u324?stwa o charakterze organizacyjnym), a tak\u380?e systematyczne szkolenia z ochrony danych osobowych, czy stosowania \u347?rodk\u243?w bezpiecze\u324?stwa na platformie PUE ZUS takich jak uwierzytelnianie u\u380?ytkownik\u243?w oraz dost\u281?p oparty na rolach (\u347?rodki bezpiecze\u324?stwa o charakterze technologicznym/technicznym). Jednocze\u347?nie skar\u380?\u261?cy kasacyjnie wskaza\u322?, \u380?e dla Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie nie mia\u322?y znaczenia dla wyceny ryzyka okoliczno\u347?ci takie jak: wieloletnie zatrudnienie nieuprawnionego odbiorcy na wysokim stanowisku w Departamencie [...] i dotychczasowy dost\u281?p do platformy PUE ZUS w ramach tego zatrudnienia, czy samodzielne zg\u322?oszenie dost\u281?pu do konta PUE ZUS by\u322?ego pracodawcy (Banku) przez nieuprawnionego odbiorc\u281?.
\par 
\par Skar\u380?\u261?cy kasacyjnie doda\u322?, \u380?e poziomu ryzyka naruszenia praw i wolno\u347?ci osoby fizycznej nie mo\u380?na wycenia\u263? w zale\u380?no\u347?ci od tego, czy do przetwarzania danych dochodzi zgodnie z prawem czy nie. Inaczej w ocenie skar\u380?\u261?cego kasacyjnie by\u347?my doszli do fikcji, w kt\u243?rej przepis prawa eliminowa\u322?by ryzyko negatywnych skutk\u243?w dla osoby fizycznej. Zdaniem skar\u380?\u261?cego kasacyjnie zawsze trzeba bra\u263? pod uwag\u281? omawiane prawdopodobie\u324?stwo, a nie a priori uznawa\u263?, \u380?e bezprawny dost\u281?p do danych (wobec zako\u324?czenia stosunku pracy - tak jak w niniejszej sprawie), r\u243?wnoznaczny jest z wysokim ryzykiem naruszenia praw lub wolno\u347?ci os\u243?b fizycznych. Jako przyk\u322?ad skar\u380?\u261?cy kasacyjnie wskaza\u322? nr PESEL, tj. numer identyfikacyjny, kt\u243?ry jest publicznie dost\u281?pny w Krajowym Rejestrze S\u261?dowym, co nie oznacza jednak, \u380?e jego upublicznienie (zgodne z prawem) wywo\u322?uje wysokie ryzyko naruszenia praw lub wolno\u347?ci dla os\u243?b ujawnionych w KRS. Tak samo podawanie PESEL powoda w pozwie (wym\u243?g formalny) nie oznacza, jak wskaza\u322? skar\u380?\u261?cy kasacyjnie, \u380?e skonfliktowana strona (pozwany) zainteresowany jest wyrz\u261?dzeniem szkody powodowi w oparciu o jego dane osobowe.
\par 
\par Skar\u380?\u261?cy kasacyjnie podkre\u347?li\u322?, \u380?e ryzyko zgodnie z RODO si\u281? ocenia, szacuje, a nie a priori zak\u322?ada, \u380?e zakres danych osobowych przes\u261?dza o wysokim ryzyku. O hipotetycznym ryzyku mowa jest przy ocenie skutk\u243?w przetwarzania danych osobowych. Ryzyko nale\u380?y rozpozna\u263?, oceni\u263? i w razie konieczno\u347?ci zminimalizowa\u263?.
\par 
\par Skar\u380?\u261?cy kasacyjnie podkre\u347?li\u322?, \u380?e w niniejszej sprawie zastosowa\u322? \u347?rodki bezpiecze\u324?stwa, co tak\u380?e uczyni\u322? Zak\u322?ad Ubezpiecze\u324? Spo\u322?ecznych i w\u347?r\u243?d zastosowanych \u347?rodk\u243?w bezpiecze\u324?stwa wymieni\u322?: odebranie od pracownika o\u347?wiadczenia o bezterminowym obowi\u261?zku zachowania tajemnicy i poufno\u347?ci (\u347?rodek bezpiecze\u324?stwa o charakterze organizacyjnym), przy czym zaznaczy\u322?, \u380?e o\u347?wiadczenie to nie traci mocy po ustaniu stosunku pracy; jak r\u243?wnie\u380? systematyczne szkolenia z ochrony danych osobowych, przy czym zaznaczy\u322?, \u380?e s\u261? to podstawowe wymagane przez Prezesa Urz\u281?du Ochrony Danych Osobowych \u347?rodki bezpiecze\u324?stwa. Skar\u380?\u261?cy kasacyjnie wymieni\u322? tak\u380?e stosowanie \u347?rodk\u243?w bezpiecze\u324?stwa na platformie PUE ZUS takich jak uwierzytelnianie u\u380?ytkownik\u243?w oraz dost\u281?p oparty na rolach (\u347?rodki bezpiecze\u324?stwa o charakterze technologicznym/technicznym).
\par 
\par Skar\u380?\u261?cy kasacyjnie podni\u243?s\u322? tak\u380?e, \u380?e Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, ale tak\u380?e organ pomin\u281?li w sprawie to, \u380?e hipotetyczny dost\u281?p do danych mia\u322?a jedna zidentyfikowana osoba, a wi\u281?c wyw\u243?d o wykorzystaniu danych przez nieuprawnione osoby jest bezprzedmiotowy. Ponadto, jak zauwa\u380?y\u322? skar\u380?\u261?cy kasacyjnie, post\u281?powanie w \u380?aden spos\u243?b nie wykaza\u322?o jaka liczba os\u243?b mia\u322?a w systemie informacj\u281? o zwolnieniach lekarskich - przy za\u322?o\u380?eniu, \u380?e s\u261? to dane szczeg\u243?lnej kategorii.
\par 
\par Skar\u380?\u261?cy kasacyjne podkre\u347?li\u322? tak\u380?e, \u380?e by\u322?y pracownik Banku wsp\u243?\u322?pracowa\u322? z nim jako administratorem, bowiem samodzielnie zg\u322?osi\u322?, \u380?e posiada dost\u281?p do PUE ZUS w imieniu banku, a wi\u281?c podj\u261?\u322? dobrowolnie kroki celem odbioru mu uprawnie\u324?. Natomiast w kontek\u347?cie logowa\u324? do PUE ZUS zdaniem skar\u380?\u261?cego kasacyjnie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie bezrefleksyjnie powt\u243?rzy\u322? za organem b\u322?\u281?dn\u261? tez\u281?, \u380?e by\u322?y pracownik logowa\u322? si\u281? do systemu w przypadku braku uprawie\u324?, a jak ju\u380? wcze\u347?niej wskazano, logowania te nast\u281?powa\u322?y wobec wykonywania takiej samej pracy u innego pracodawcy i jedynie w celu sprawdzenia, czy nadal te uprawnienia istniej\u261?, a nie w celu przegl\u261?dania danych. Okoliczno\u347?\u263? ta, jak zaznaczy\u322? skar\u380?\u261?cy kasacyjnie, zosta\u322?a w ca\u322?o\u347?ci zignorowana przez organ, a nast\u281?pnie przez S\u261?d I instancji. Skar\u380?\u261?cy kasacyjnie podkre\u347?li\u322?, \u380?e wbrew twierdzeniom Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie, okoliczno\u347?\u263? logowa\u324? pozostaje kwesti\u261? sporn\u261?. Bank konsekwentnie twierdzi, \u380?e logowania te nie wi\u261?za\u322?y si\u281? z przegl\u261?daniem danych osobowych pracownik\u243?w Banku. Uznanie za\u347? przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, \u380?e kwestia logowa\u324? jest kwesti\u261? bezsporn\u261?, \u347?wiadczy jedynie o braku nale\u380?ytej uwagi wzgl\u281?dem zarzut\u243?w zawartych w skardze.
\par 
\par Zdaniem skar\u380?\u261?cego kasacyjnie nie mo\u380?na r\u243?wnie\u380? zaakceptowa\u263? pogl\u261?du wyra\u380?onego przez organ, a nast\u281?pnie S\u261?d I instancji, \u380?e \u380?adna wi\u281?\u378? prawna nie \u322?\u261?czy Banku z by\u322?ym pracownikiem, bowiem by\u322?y pracownik departamentu [...] na stanowisku kierownika Zespo\u322?u [...], z\u322?o\u380?y\u322? o\u347?wiadczenie w przedmiocie bezterminowego zachowania tajemnicy i poufno\u347?ci, kt\u243?re ma charakter zobowi\u261?zania. Ponadto, jako wieloletni pracownik departamentu [...] na stanowisku kierowniczym wiedzia\u322?, \u380?e dost\u281?p do PUE ZUS oparty jest na rolach i wyst\u281?puje uwierzytelnianie u\u380?ytkownik\u243?w. Wiedzia\u322? zatem, \u380?e ka\u380?dy ruch w systemie zapisywany jest w logach. Skar\u380?\u261?cy kasacyjnie wskaza\u322? wi\u281?c, \u380?e m\u243?g\u322? i s\u322?usznie przyzna\u322? status zaufanego odbiorcy by\u322?emu pracownikowi. M\u243?g\u322? bowiem ufa\u263?, \u380?e by\u322?y pracownik nie wykorzysta dost\u281?pu do PUE ZUS w celach przest\u281?pczych czy innych niekorzystnych wzgl\u281?dem pracownik\u243?w Banku. Kwestia logowa\u324? nie niweczy przy tym jego zdaniem zasadno\u347?ci uznania by\u322?ego pracownika za zaufanego odbiorc\u281?.
\par 
\par Skar\u380?\u261?cy kasacyjnie wskaza\u322?, \u380?e ocena ryzyka dokonana przez Bank uwzgl\u281?dnia\u322?a d\u322?ugotrwa\u322?o\u347?\u263? stosunku pracy pomi\u281?dzy Bankiem, a jego by\u322?ym pracownikiem, dotychczasowe stanowisko tego pracownika, brak zastrze\u380?e\u324? co do wykonywania obowi\u261?zk\u243?w s\u322?u\u380?bowych, kt\u243?re wi\u261?za\u322?y si\u281? z prac\u261? na danych osobowych i to w szerszym zakresie ni\u380? danych dost\u281?pnych na PUE ZUS i powt\u243?rzy\u322?, \u380?e nieuprawnionym odbiorc\u261? by\u322?a jedna zidentyfikowana i dobrze znana administratorowi osoba.
\par 
\par Skar\u380?\u261?cy kasacyjnie powo\u322?uj\u261?c si\u281? na Opini\u281? 3/2014 Grupy Roboczej Art. 29, w kt\u243?rej wymieniono przypadki, w kt\u243?rych zachodzi konieczno\u347?\u263? notyfikowania podmiot\u243?w danych podkre\u347?laj\u261?c, \u380?e \u380?aden z przywo\u322?anych tam przypadk\u243?w nie jest podobny do naruszenia ochrony danych osobowych niniejszej sprawy, bowiem s\u261? one nacechowane dzia\u322?aniem osoby trzeciej, g\u322?\u243?wnie z zamiarem przest\u281?pczym. Tymczasem w niniejszej sprawie by\u322?y pracownik nie prze\u322?amywa\u322? \u380?adnych zabezpiecze\u324?, nie upublicznia\u322? danych pracownik\u243?w Banku, ani nie manipulowa\u322? systemem informatycznym. Wr\u281?cz przeciwnie, samodzielnie zg\u322?osi\u322? Bankowi, \u380?e ma dost\u281?p do PUE ZUS.
\par 
\par Skar\u380?\u261?cy kasacyjnie podni\u243?s\u322? tak\u380?e, \u380?e w sprawi b\u322?\u281?dnie stwierdzono, \u380?e dane zawarte w PUE ZUS w postaci elektronicznych zwolnie\u324? lekarskich stanowi\u261? dane dotycz\u261?ce zdrowia, a w konsekwencji maj\u261? wp\u322?yw na wymiar kary pieni\u281?\u380?nej (jej podwy\u380?szenie) wymierzonej Bankowi, bowiem w ocenie skar\u380?\u261?cego kasacyjnie sam fakt posiadania przez pracownika zwolnienia lekarskiego nie jest dan\u261? dotycz\u261?c\u261? zdrowia. Dane dotycz\u261?ce zdrowia musz\u261? bowiem ujawnia\u263? informacje o stanie zdrowia osoby fizycznej w odpowiednim stopniu szczeg\u243?\u322?owo\u347?ci. A contrario, je\u380?eli osoba nie posiada zwolnienia lekarskiego to przecie\u380? nie oznacza to, \u380?e Bank przetwarza dane osobowe dotycz\u261?ce zdrowia - informacj\u281?, \u380?e konkretna osoba jest zdrowa.
\par 
\par Nast\u281?pnie skar\u380?\u261?cy kasacyjnie podni\u243?s\u322?, \u380?e S\u261?d I instancji b\u322?\u281?dnie zaakceptowa\u322? post\u281?powanie dowodowe organu nadzorczego, kt\u243?re dotkni\u281?te by\u322?o wadami, kt\u243?re uniemo\u380?liwi\u322?y prawid\u322?owe ustalenie stanu faktycznego w sprawie. W ocenie skar\u380?\u261?cego kasacyjnie Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w zasadzie nie dostrzeg\u322? wad procesowych post\u281?powania administracyjnego i w spos\u243?b nieuprawniony oddali\u322? skarg\u281? na podstawie art. 151 ustawy Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi. Skar\u380?\u261?cy kasacyjnie zauwa\u380?y\u322?, \u380?e wbrew ocenie S\u261?du I instancji znaczenie dla sprawy, szczeg\u243?lnie wyceny ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, ale tak\u380?e wymiaru kary, mia\u322?o ustalenie celu logowa\u324?, zakresu dzia\u322?a\u324? by\u322?ego pracownika na PUE ZUS na profilu banku, ustalenie ile os\u243?b (pracownik\u243?w Banku) w swoich wpisach mia\u322?o dane szczeg\u243?lnej kategorii - przy za\u322?o\u380?eniu, \u380?e E-ZLA stanowi\u261? dane dotycz\u261?ce zdrowia.
\par 
\par Skar\u380?\u261?cy kasacyjnie podni\u243?s\u322? tak\u380?e, \u380?e okoliczno\u347?ci wskazane w podstawach kasacyjnych stanowi\u261? niezb\u281?dn\u261? przes\u322?ank\u281? dla ustalenia co do zasady czy zi\u347?ci\u322?y si\u281? przes\u322?anki z art. 34 ust 1 RODO, a dalej dla oceny dokonanej przez Bank wyceny ryzyka. Zdaniem skar\u380?\u261?cego kasacyjnie dopiero po ustaleniu wskazanych okoliczno\u347?ci faktycznych organ m\u243?g\u322?by rozwa\u380?y\u263? czy spe\u322?nione s\u261? przes\u322?anki do na\u322?o\u380?enia kary pieni\u281?\u380?nej oraz ustalenia jej wysoko\u347?ci. Skar\u380?\u261?cy kasacyjnie podkre\u347?li\u322?, \u380?e prawid\u322?owe ustalenie stanu faktycznego sprawy stanowi warunek konieczny do prawid\u322?owego rozstrzygni\u281?cia sprawy.
\par 
\par Zdaniem skar\u380?\u261?cego kasacyjnie organ w niniejszej sprawie nie przeprowadzi\u322? jakiegokolwiek postepowania, tym bardziej, \u380?e pomin\u261?\u322? wnioski dowodowe strony, w przedmiocie ustalenia, czy osoby fizyczne dotkni\u281?te naruszeniem ponios\u322?y szkod\u281?, ani nie oszacowa\u322? (ustali\u322?) rozmiaru poniesionej szkody. Tymczasem skar\u380?\u261?cy kasacyjnie zauwa\u380?y, \u380?e w art. 83 ust. 2 RODO mowa jest o poniesionej szkodzie, a nie ryzyku wyst\u261?pienia szkody. Skar\u380?\u261?cy kasacyjnie doda\u322? tak\u380?e, \u380?e Wojew\u243?dzki S\u261?d Administracyjny w Warszawie nie zauwa\u380?y\u322? b\u261?d\u378? zaakceptowa\u322? fakt, \u380?e organ nie poczyni\u322? ustale\u324? w zakresie kategorii danych osobowych, kt\u243?rych dotyczy\u322?o naruszenie. Organ ustali\u322? co prawda jakie dane osobowe co do zasady znajduj\u261? si\u281? w PUE ZUS, ale nie ustali\u322? konkret\u243?w, tj. jakie kategorie danych osobowych wyst\u281?powa\u322?y w stosunku do danej osoby fizycznej, np. ile pracownik\u243?w w systemie mia\u322?o informacj\u281? o E-ZLA.
\par 
\par Skar\u380?\u261?cy kasacyjnie podkre\u347?li\u322? tak\u380?e, \u380?e Wojew\u243?dzki S\u261?d Administracyjny w Warszawie przede wszystkim w uzasadnieniu zaskar\u380?onego wyroku nie wspomnia\u322? nawet o prawdopodobie\u324?stwie, \u380?e naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wyst\u261?pienia negatywnych skutk\u243?w dla os\u243?b fizycznych, nie rozpoznaj\u261?c tym samym g\u322?\u243?wnego zarzutu skargi.
\par 
\par W pi\u347?mie procesowym z dnia 3 sierpnia 2023 r. organ wni\u243?s\u322? o oddalenie skargi kasacyjnej podtrzymuj\u261?c w ca\u322?o\u347?ci stanowisko wyra\u380?one w wydanej w sprawie decyzji, jak r\u243?wnie\u380? w udzielonej Wojew\u243?dzkiemu S\u261?dowi Administracyjnemu w Warszawie odpowiedzi na skarg\u281? oraz w pi\u347?mie procesowym z dnia 7 listopada 2022 r., a tak\u380?e popieraj\u261?c stanowisko S\u261?du I instancji zaprezentowane w zaskar\u380?onym wyroku. Organ podkre\u347?li\u322?, \u380?e w sprawie w spos\u243?b wystarczaj\u261?cy wykazano, \u380?e naruszenie poufno\u347?ci danych, jakie wyst\u261?pi\u322?o w przedmiotowej sprawie, w zwi\u261?zku z naruszeniem ochrony danych osobowych, polegaj\u261?cym na posiadaniu przez by\u322?ego pracownika Banku nieuprawnionego dost\u281?pu do PUE ZUS, skutkuj\u261?cym mo\u380?liwo\u347?ci\u261? przegl\u261?dania znajduj\u261?cych si\u281? na tej\u380?e platformie danych pracownik\u243?w Banku w zakresie ich imion i nazwisk, numer\u243?w PESEL, adres\u243?w zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowi\u261?cych dane dotycz\u261?ce zdrowia, powoduje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych.
\par 
\par Organ wskaza\u322?, \u380?e nie spos\u243?b jest zgodzi\u263? si\u281? ze skar\u380?\u261?cym kasacyjnie, \u380?e Wojew\u243?dzki S\u261?d Administracyjny w Warszawie w spos\u243?b nieuprawniony przyj\u261?\u322?, \u380?e o wadze (poziomie) ryzyka decyduje wy\u322?\u261?cznie zakres danych, do kt\u243?rych by\u322?y pracownik Banku mia\u322? hipotetyczny dost\u281?p, czas trwania tego dost\u281?pu, liczba os\u243?b dotkni\u281?tych naruszeniem, podczas gdy organ wykaza\u322?, \u380?e kluczowe znaczenie w sprawie ma to jakie ewentualne konsekwencje wobec os\u243?b fizycznych mo\u380?e powodowa\u263? takie naruszenie. Organ zaznaczy\u322?, \u380?e oceniaj\u261?c ryzyko dla os\u243?b fizycznych b\u281?d\u261?ce wynikiem naruszenia, administrator powinien uwzgl\u281?dni\u263? konkretne okoliczno\u347?ci naruszenia, w tym wag\u281? potencjalnego wp\u322?ywu i prawdopodobie\u324?stwo jego wyst\u261?pienia. Grupa Robocza Art. 29 zaleca zatem, aby w trakcie oceny brano pod uwag\u281? rodzaj naruszenia, charakter, wra\u380?liwo\u347?\u263? i ilo\u347?\u263? danych osobowych, \u322?atwo\u347?\u263? identyfikacji os\u243?b fizycznych i wag\u281? konsekwencji dla os\u243?b fizycznych. Ponadto, nale\u380?y zwr\u243?ci\u263? uwag\u281? na to jak trwa\u322?e s\u261? konsekwencje dla os\u243?b fizycznych, gdy\u380? wp\u322?yw mo\u380?e by\u263? postrzegany jako powa\u380?niejszy je\u380?eli dotyczy d\u322?ugiego okresu. W tym przypadku nale\u380?y dodatkowo wzi\u261?\u263? pod uwag\u281?: cechy szczeg\u243?lne danej osoby fizycznej, cechy szczeg\u243?lne administratora danych, liczb\u281? os\u243?b fizycznych, na kt\u243?re naruszenie wywiera wp\u322?yw. Natomiast w przypadku kryteri\u243?w, jakie EROD zaleca uwzgl\u281?dni\u263? oceniaj\u261?c ryzyko dla os\u243?b fizycznych w wyniku naruszenia, r\u243?wnie\u380? w Wytycznych 9/2022, wskazuje si\u281? na wymienione ju\u380? powy\u380?ej elementy, tj. rodzaj naruszenia, charakter, wra\u380?liwo\u347?\u263? i ilo\u347?\u263? danych osobowych, \u322?atwo\u347?\u263? identyfikacji os\u243?b, dotkliwo\u347?\u263? konsekwencji dla jednostek. I tak EROD stwierdza m.in., \u380?e "naruszenia dotycz\u261?ce danych zdrowotnych, dokument\u243?w to\u380?samo\u347?ci lub danych finansowych, takich jak dane kart kredytowych, same w sobie mog\u261? wyrz\u261?dzi\u263? szkody, ale u\u380?yte razem mog\u261? pos\u322?u\u380?y\u263? do kradzie\u380?y to\u380?samo\u347?ci. Kombinacja danych osobowych jest zwykle bardziej wra\u380?liwa ni\u380? pojedynczy element danych osobowych".
\par 
\par Maj\u261?c zatem na uwadze wskazane wy\u380?ej elementy takiej oceny, rekomendowane przez Grup\u281? Robocz\u261?, organ podkre\u347?li\u322?, \u380?e w\u322?a\u347?ciwie uzna\u322?, i\u380? w przedmiotowym przypadku wyst\u281?puje wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych \u8211? pracownik\u243?w Banku.
\par 
\par Organ doda\u322?, \u380?e nie bez przyczyny Wojew\u243?dzki S\u261?d Administracyjny w Warszawie wzi\u261?\u322? pod uwag\u281? zakres udost\u281?pnionych nieuprawnionemu odbiorcy danych, albowiem to w\u322?a\u347?nie zakres takich danych determinuje konsekwencje (szkody) jakie dane naruszenie mo\u380?e wywrze\u263? na osoby fizyczne. W ocenie organu S\u261?d I instancji w\u322?a\u347?ciwie doszed\u322? do wniosku, i\u380? ujawniony zakres danych generuje wysokie ryzyko. Organ zaznaczy\u322?, \u380?e w zaskar\u380?onym wyroku wymieniono mo\u380?liwe konsekwencje polegaj\u261?ce na szkodach maj\u261?tkowych, czy niemaj\u261?tkowych takich jak m.in.: dyskryminacja, kradzie\u380? lub sfa\u322?szowanie to\u380?samo\u347?ci, straty finansowe i naruszenie dobrego imienia. Co do za\u347? "braku ich wyst\u261?pienia" organ przypomnia\u322?, \u380?e obowi\u261?zek zawiadomienia osoby fizycznej o naruszeniu nie jest uzale\u380?niony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej mo\u380?liwo\u347?ci wyst\u261?pienia takiego ryzyka. Tym samym umo\u380?liwia osobie fizycznej dokonanie samodzielnej oceny naruszenia i podj\u281?cie \u347?rodk\u243?w zaradczych w\u322?a\u347?nie po to, by te ryzyka si\u281? nie zmaterializowa\u322?y. Organ doda\u322?, \u380?e podobnie zreszt\u261? je\u347?li chodzi o hipotetyczny dost\u281?p do danych, kt\u243?ry posiada\u322? by\u322?y pracownik, w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapozna\u322?a si\u281? z danymi osobowymi innych os\u243?b, lecz to, \u380?e wyst\u261?pi\u322?o takie ryzyko, tj. mia\u322?a mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi.
\par 
\par W ocenie organu w sprawie prawid\u322?owo ustalono, \u380?e nie wyst\u261?pi\u322?y okoliczno\u347?ci obni\u380?aj\u261?ce poziom ryzyka w stopniu zwalniaj\u261?cym z obowi\u261?zku dokonania zg\u322?oszenia naruszenia ochrony danych osobowych oraz zawiadomienia o naruszeniu os\u243?b, kt\u243?rych dane dotycz\u261?. Przede wszystkim organ stwierdzi\u322?, \u380?e brak jest podstaw do uznania by\u322?ego pracownika Banku jako "zaufanego" odbiorcy danych, na co powo\u322?ywa\u322? si\u281? skar\u380?\u261?cy kasacyjnie.
\par 
\par Organ doda\u322?, \u380?e o ile by\u322?y pracownik by\u322? zobowi\u261?zany do zachowania tajemnicy i poufno\u347?ci danych osobowych bezterminowo, o tyle podkre\u347?lenia wymaga fakt, \u380?e osoba ta nieuprawniony dost\u281?p do danych osobowych posiada\u322?a po ustaniu stosunku pracy i w tym okresie logowa\u322?a si\u281? do systemu. Natomiast w kwestii posiadanego przez by\u322?ego pracownika upowa\u380?nienia do przetwarzania danych osobowych w celach zwi\u261?zanych z wykonywaniem obowi\u261?zk\u243?w na zajmowanym stanowisku, jak wskaza\u322? sam Bank, zosta\u322?o one udzielone wy\u322?\u261?cznie w zakresie wynikaj\u261?cym z zada\u324? s\u322?u\u380?bowych oraz polece\u324? s\u322?u\u380?bowych wynikaj\u261?cych z realizacji zawartego stosunku umownego i traci ono wa\u380?no\u347?\u263? z chwil\u261? ustania stosunku umownego wi\u261?\u380?\u261?cego upowa\u380?nionego z Bankiem. Organ podkre\u347?li\u322?, \u380?e w przedmiotowej sprawie nie ma ono zatem \u380?adnego znaczenia, bowiem przesta\u322?o obowi\u261?zywa\u263?. Przede wszystkim jednak organ podkre\u347?li\u322?, \u380?e regulacje prawne, w tym obowi\u261?zki zwi\u261?zane z zachowaniem tajemnicy, nie gwarantuj\u261? osobie, kt\u243?rej dane dotycz\u261? stuprocentowej pewno\u347?ci oraz ochrony przed zmaterializowaniem si\u281? negatywnych skutk\u243?w, bowiem kluczowym czynnikiem s\u261? stosunku, w jakich pozostaj\u261? podmioty. Co za\u347? w ocenie organu najistotniejsze osoba, kt\u243?ra posiadania nieuprawniony dost\u281?p do danych osobowych pracownik\u243?w Banku, aktualnie nie jest zwi\u261?zana z nim stosunkiem pracy, nie \u322?\u261?cz\u261? ich te\u380? jakiekolwiek inne relacje, np. biznesowe, a zatem powy\u380?sze okoliczno\u347?ci nie maj\u261? na gruncie przedmiotowej sprawy \u380?adnego znaczenia.
\par 
\par Organ przypomnia\u322?, \u380?e ustanie zatrudnienia jest r\u243?wnoznaczne z zerwaniem dotychczasowej wi\u281?zi prawnej miedzy stronami stosunku pracy i zobowi\u261?zuje strony do "rozliczenia si\u281?" z wzajemnych obowi\u261?zk\u243?w wynikaj\u261?cych z zako\u324?czonej umowy. O ile fakt bycia wieloletnim pracownikiem Banku, w Dziale [...], posiadanie upowa\u380?nienia do przetwarzania danych osobowych w imieniu Banku mo\u380?e \u8211? w ocenie organu \u8211? wskazywa\u263? na du\u380?e do\u347?wiadczenie i wiedze podmiotu nieuprawnionego, o tyle fakt, \u380?e logowania do platformy PUE ZUS mia\u322?y miejsce ju\u380? po staniu stosunku pracy, cz\u281?stotliwo\u347?\u263? tych logowa\u324?, odst\u281?py czasu pomi\u281?dzy poszczeg\u243?lnymi logowaniami, wskazuj\u261? na dzia\u322?anie celowe, a nie przypadkowe by\u322?ego pracownika Banku i w \u380?adnym razie nie uzasadniaj\u261? posiadanego zaufania pracodawcy do by\u322?ego pracownika.
\par 
\par Co do za\u347? kwestii zakresu udost\u281?pnionych danych, a dok\u322?adnie danych dotycz\u261?cych zdrowia organ doda\u322?, \u380?e ka\u380?de zwolnienie lekarskie zawiera kod chorobowy, kt\u243?ry wskazuje na dan\u261? grup\u281? chorobow\u261?, np. kod B oznacza niezdolno\u347?\u263? do pracy w czasie ci\u261?\u380?y, kod C wskazuje na niezdolno\u347?\u263? do pracy spowodowan\u261? nadu\u380?yciem alkoholu, a kod D niezdolno\u347?\u263? do pracy spowodowan\u261? gru\u378?lic\u261?, a wi\u281?c s\u261? to dane dotycz\u261?ce zdrowia. Ponadto, organ nadmieni\u322?, \u380?e w omawianym przypadku dodatkowo dochodzi kwestia tego, i\u380? nieuprawniony odbiorca danych \u8211? by\u322?y pracownik departamentu [...], mia\u322? dost\u281?p do danych dotycz\u261?cych zdrowia, zawartych w elektronicznych zwolnieniach lekarskich wszystkich pracownik\u243?w Banku, a zatem zakres dost\u281?pu do danych dotycz\u261?cych zdrowia by\u322? znaczny.
\par 
\par Organ wskaza\u322? tak\u380?e, \u380?e argumenty skar\u380?\u261?cego kasacyjnie dotycz\u261?ce rzekomych wad w przeprowadzeniu postepowania dowodowego, co mia\u322?o uniemo\u380?liwi\u263? prawid\u322?owe ustalenie stanu faktycznego sprawy, tak\u380?e uzna\u263? nale\u380?y za bezzasadne.
\par 
\par Naczelny S\u261?d Administracyjny zwa\u380?y\u322?, co nast\u281?puje:
\par 
\par Zgodnie z tre\u347?ci\u261? art. 183 \u167? 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi (tj.: Dz.U. z 2026 r., poz. 143 ze zm.) - zwanej dalej p.p.s.a., Naczelny S\u261?d Administracyjny rozpoznaje spraw\u281? w granicach skargi kasacyjnej, bierze jednak z urz\u281?du pod rozwag\u281? niewa\u380?no\u347?\u263? post\u281?powania. W sprawie nie wyst\u281?puj\u261?, enumeratywnie wyliczone w art. 183 \u167? 2 p.p.s.a., przes\u322?anki niewa\u380?no\u347?ci post\u281?powania s\u261?dowoadministracyjnego. Z tego wzgl\u281?du, przy rozpoznaniu sprawy, Naczelny S\u261?d Administracyjny zwi\u261?zany by\u322? granicami skargi kasacyjnej.
\par 
\par Skarg\u281? kasacyjn\u261? mo\u380?na oprze\u263? na nast\u281?puj\u261?cych podstawach:
\par 
\par 1) naruszeniu prawa materialnego przez b\u322?\u281?dn\u261? jego wyk\u322?adni\u281? lub niew\u322?a\u347?ciwe zastosowanie,
\par 
\par 2) naruszeniu przepis\u243?w post\u281?powania, je\u380?eli uchybienie to mog\u322?o mie\u263? istotny wp\u322?yw na wynik sprawy (art. 174 p.p.s.a.).
\par 
\par Granice skargi kasacyjnej wyznaczaj\u261? wskazane w niej podstawy.
\par 
\par W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepis\u243?w post\u281?powania. Rozpoznaj\u261?c skarg\u281? kasacyjn\u261? w tak zakre\u347?lonych granicach, stwierdzi\u263? nale\u380?y, \u380?e skarga ta nie zas\u322?uguje na uwzgl\u281?dnienie.
\par 
\par W sytuacji, gdy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepis\u243?w post\u281?powania, co do zasady w pierwszej kolejno\u347?ci rozpoznaniu podlegaj\u261? zarzuty naruszenia przepis\u243?w post\u281?powania (por. wyrok NSA z dnia 27 czerwca 2012 r., II GSK 819/11, LEX nr 1217424; wyrok NSA z dnia 26 marca 2010 r., II FSK 1842/08, LEX nr 596025; wyrok NSA z dnia 4 czerwca 2014 r., II GSK 402/13, LEX nr 1488113; wyrok NSA z dnia 17 lutego 2023 r., II GSK 1458/19; wyrok NSA z dnia 1 marca 2023 r., I FSK 375/20). Dopiero bowiem po przes\u261?dzeniu, \u380?e stan faktyczny przyj\u281?ty przez s\u261?d w zaskar\u380?onym wyroku jest prawid\u322?owy, albo nie zosta\u322? dostatecznie podwa\u380?ony, mo\u380?na przej\u347?\u263? do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez s\u261?d pierwszej instancji przepis prawa materialnego. Dla uznania za usprawiedliwion\u261? podstaw\u281? kasacyjn\u261? z art. 174 pkt 2 p.p.s.a. nie wystarcza samo wskazanie naruszenia przepis\u243?w post\u281?powania, ale nadto wymagane jest, aby skar\u380?\u261?cy wykaza\u322?, \u380?e nast\u281?pstwa stwierdzonych wadliwo\u347?ci post\u281?powania by\u322?y tego rodzaju lub skali, i\u380? kszta\u322?towa\u322?y one lub wsp\u243?\u322?kszta\u322?towa\u322?y tre\u347?\u263? kwestionowanego w sprawie orzeczenia (por. wyrok NSA z dnia 5 maja 2004 r., FSK 6/04, LEX nr 129933; wyrok NSA z dnia 26 lutego 2014 r., II GSK 1868/12, LEX nr 1495116; wyrok NSA z dnia 29 listopada 2022 r., I OSK 931/22).
\par 
\par Na podstawie pierwszego zarzutu naruszenia przepis\u243?w post\u281?powania strona skar\u380?\u261?ca kasacyjnie usi\u322?uje wytkn\u261?\u263? szereg nieprawid\u322?owo\u347?ci w przeprowadzonym przez Prezesa Urz\u281?du Ochrony Danych Osobowych post\u281?powaniu zarzucaj\u261?c Wojew\u243?dzkiemu S\u261?dowi Administracyjnemu w Warszawie naruszenie art. 151 p.p.s.a., poprzez nieuprawnione zastosowanie, spowodowane niedostrze\u380?eniem wad procesowych postepowania administracyjnego, w sytuacji gdy skar\u380?\u261?cy kasacyjne w jego ocenie wykaza\u322?, \u380?e post\u281?powanie organu nadzorczego dotkni\u281?te by\u322?o wadami, kt\u243?re uniemo\u380?liwi\u322?y prawid\u322?owe ustalenie stanu faktycznego w sprawie, albowiem organ wbrew art. 7, art. 75 \u167? 1, art. 77 \u167? 1 i art.. 80 ustawy z dnia 14 czerwca 1960 r. Kodeks post\u281?powania administracyjnego (Dz. U. z 2024 r., poz. 572 ze zm.) \u8211? dalej zwanej: k.p.a nie ustali\u322? do jakich danych osobowych nieuprawniony odbiorca (by\u322?y pracownik departamentu [...]) mia\u322? faktyczny dost\u281?p i czy z tego dost\u281?pu korzysta\u322?. Skar\u380?\u261?cy kasacyjnie zwr\u243?ci\u322? uwag\u281? na to, \u380?e w sprawie zaniechano zwr\u243?cenia si\u281? do Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych w celu ustalenia tych okoliczno\u347?ci podczas, gdy okoliczno\u347?ci te mia\u322?y znaczenie dla oszacowania wysoko\u347?ci ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych (pracownik\u243?w Banku) oraz wymiaru kary pieni\u281?\u380?nej. Ponadto strona skar\u380?\u261?ca kasacyjnie wytkn\u281?\u322?a zaniechanie ustalenia zakresu danych osobowych w stosunku do konkretnej osoby fizycznej, co mia\u322?o wp\u322?yw na wysoko\u347?\u263? kary pieni\u281?\u380?nej wymierzonej Bankowi, albowiem a priori organ (a nast\u281?pnie S\u261?d I instancji) uzna\u322?, \u380?e na Platformie Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych znajduj\u261? si\u281? dane osobowe szczeg\u243?lnej kategorii. Ponadto, skar\u380?\u261?cy kasacyjnie podni\u243?s\u322?, \u380?e w sprawie nie ustalono czy nieuprawniony hipotetyczny dost\u281?p (by\u322?ego pracownika departamentu [...]) dotyczy\u322? danych osobowych pracownik\u243?w Banku, do kt\u243?rych ww. pracownik mia\u322? wcze\u347?niej dost\u281?p (kt\u243?re zna\u322?), czy r\u243?wnie\u380? os\u243?b zatrudnionych po ustaniu stosunku pracy z tym pracownikiem, albowiem zaniechano zwr\u243?cenia si\u281? do Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych podczas, gdy okoliczno\u347?\u263? ta mia\u322?a znaczenie dla oszacowania wysoko\u347?ci ryzyka naruszenia praw lub wolno\u347?ci podmiot\u243?w danych (pracownik\u243?w Banku) oraz wymiaru kary pieni\u281?\u380?nej. Skar\u380?\u261?cy kasacyjnie wytkn\u261?\u322? tak\u380?e nieprzeprowadzenie dowodu z zezna\u324? \u347?wiadka J.S. (by\u322?ego pracownika departamentu [...], nieuprawnionego odbiorcy) na okoliczno\u347?\u263? korzystania z dost\u281?pu do PUE ZUS oraz celem ustalenia, czy by\u322?y pracownik zapoznawa\u322? si\u281? z danymi osobowymi na PUE ZUS w okresie od dnia 25 czerwca 2020 r. do dnia 4 lutego 2021 r., a je\u380?eli tak w jakim zakresie podczas, gdy okoliczno\u347?\u263? ta mia\u322?a znaczenie dla oszacowania wysoko\u347?ci ryzyka naruszenia praw i wolno\u347?ci podmiot\u243?w danych (pracownik\u243?w Banku) oraz wymiaru kary pieni\u281?\u380?nej, ani nie zwr\u243?ci\u322? si\u281? do ZUS celem ustalenia powy\u380?szej okoliczno\u347?ci oraz zaniechanie ustalenia \u8211? poprzesz brak zobowi\u261?zania operatora Platformy Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych do przedstawiania log\u243?w i wszelkich zapis\u243?w systemu informatycznego \u8211? z jakimi danymi osobowymi J.S. zapoznawa\u322?a si\u281? w ramach dost\u281?pu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od dnia 25 czerwca 2020 r., do dnia odebrania jej uprawnie\u324?, tj. 4 lutego 2021 r.. Zarzuty te nie mog\u322?y jednak odnie\u347?\u263? skutku z powodu bezzasadno\u347?ci ich argumentacji.
\par 
\par Przede wszystkim w zwi\u261?zku z tym, \u380?e strona skar\u380?\u261?ca kasacyjnie zarzuca naruszenie przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie art. 151 p.p.s.a. w powi\u261?zaniu z ww. przepisami k.p.a. podkre\u347?lenia wymaga, \u380?e w orzecznictwie Naczelnego S\u261?du Administracyjnego ugruntowane jest stanowisko, \u380?e przepis art. 151 p.p.s.a., podobnie zreszt\u261? jak art. 145 \u167? 1 pkt 1, art. 146 \u167? 1, art. 147, art. 149 \u167? 1, czy te\u380? art. 161 \u167? 1 p.p.s.a. ma charakter og\u243?lny (blankietowy) i okre\u347?la kompetencje s\u261?du administracyjnego w fazie orzekania. Tego typu przepis nie mo\u380?e wi\u281?c stanowi\u263? samodzielnej podstawy kasacyjnej. Strona skar\u380?\u261?ca kasacyjnie chc\u261?c powo\u322?a\u263? si\u281? na zarzut naruszenia art. 151 p.p.s.a. zobowi\u261?zana jest wi\u281?c bezpo\u347?rednio powi\u261?za\u263? omawiany zarzut z zarzutem naruszenia konkretnych przepis\u243?w, kt\u243?rym \u8211? jej zdaniem \u8211? S\u261?d I instancji uchybi\u322? w toku rozpoznania sprawy. Naruszenie ww. przepis\u243?w jest zawsze nast\u281?pstwem uchybienia innym przepisom, czy to procesowym, czy te\u380? materialnym (por. wyroki NSA: z dnia 30 kwietnia 2015 r., I OSK 1701/14, z dnia 29 kwietnia 2015 r., I OSK 1595/14, z dnia 29 kwietnia 2015 r., I OSK 1596/14, z dnia 24 kwietnia 2015 r., I OSK 1088/14, z dnia 8 kwietnia 2015 r., I OSK 71/15, z dnia 9 stycznia 2015 r., I OSK 638/14).
\par 
\par W zwi\u261?zku z tym, \u380?e strona skar\u380?\u261?ca kasacyjnie powi\u261?za\u322?a zarzut naruszenia art. 151 p.p.s.a. z art. 7, art. 75 \u167? 1, art. 77 \u167? 1 i art.. 80 k.p.a. wskaza\u263? nale\u380?y, \u380?e wbrew twierdzeniom skar\u380?\u261?cego kasacyjnie w rozpoznawanej sprawie wszystkie istotne okoliczno\u347?ci z punktu widzenia przedmiotu post\u281?powania, wszcz\u281?tego przez organ z urz\u281?du i dotycz\u261?cego braku zawiadomienia przez Bank o naruszeniu ochrony danych osobowych os\u243?b, kt\u243?rych dotyczy\u322?o naruszenie, skutkuj\u261?cego wymierzeniem mu administracyjnej kary pieni\u281?\u380?nej i nakazaniem zawiadomienia os\u243?b, kt\u243?rych dane dotycz\u261? o naruszeniu ochrony ich danych osobowych, zosta\u322?y wyja\u347?nione, a zgromadzone dowody zwi\u261?zane z ww. przetwarzaniem danych, m.in. wyja\u347?nienia Banku, zosta\u322?y poddane wszechstronnej i odpowiadaj\u261?cej prawu ocenie.
\par 
\par Podkre\u347?lenia w tym miejscu wymaga, \u380?e w post\u281?powaniu s\u261?dowoadministracyjnym s\u261?d nie ustala stanu faktycznego, lecz bada, czy w trakcie post\u281?powania administracyjnego zosta\u322?y ujawnione wszystkie okoliczno\u347?ci istotne dla wydania decyzji, czy by\u322?y one uwzgl\u281?dnione przy wydaniu decyzji i w jaki spos\u243?b zosta\u322?y ocenione przez organ (por. wyrok NSA z 16 maja 2008 r., II OSK 554/07). S\u261?d I instancji prawid\u322?owo wywi\u261?za\u322? si\u281? z tego obowi\u261?zku, dokona\u322? poprawnej oceny zaskar\u380?onej decyzji i s\u322?usznie przyj\u261?\u322? ustalony przez organ stan faktyczny za odpowiadaj\u261?cy wymogom prawa. Organ prowadz\u261?c post\u281?powanie w niniejszej sprawie, powzi\u261?\u322? wszelkie niezb\u281?dne kroki do dok\u322?adnego wyja\u347?nienia stanu faktycznego sprawy. Zebra\u322? i rozpatrzy\u322? ca\u322?y materia\u322? dowodowy, wskazuj\u261?c podstawy podj\u281?tego rozstrzygni\u281?cia, a ocena ta nie narusza zasady swobodnej oceny dowod\u243?w. Organ ustosunkowa\u322? si\u281? do wszelkich istotnych okoliczno\u347?ci wskazanych przez Bank. S\u322?usznie przy tym wskaza\u322? S\u261?d I instancji, \u380?e nie mog\u322?o uniemo\u380?liwi\u263? wydania decyzji w sprawie brak ustalenia do jakich danych osobowych faktycznie mia\u322? dost\u281?p nieuprawniony odbiorca, tj. by\u322?y pracownik Banku i czy z tego dost\u281?pu korzysta\u322?. Wystarczaj\u261?ce w sprawie by\u322?o bowiem ustalenie, dokonane zreszt\u261? na podstawie wyja\u347?nie\u324? Banku i wiadomo\u347?ci od tego pracownika informuj\u261?cej o nieuprawnionym dost\u281?pie, \u380?e zakres danych przetwarzanych w ramach Platformy Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych dost\u281?pnych do wgl\u261?du temu pracownikowi by\u322? to\u380?samy z zakresem dost\u281?pnym do wgl\u261?du pracownikowi zatrudnionemu w Banku, tj. do nast\u281?puj\u261?cych kategorii danych: imi\u281?, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z za\u347?wiadcze\u324? e-ZLA, tj. do danych dotycz\u261?cych zdrowia. Wbrew twierdzeniom strony skar\u380?\u261?cej kasacyjnie nie by\u322?o przy tym konieczne ustalenie zakresu danych osobowych w stosunku do konkretnej osoby fizycznej, czy te\u380? czy dost\u281?p ten dotyczy\u322? danych osobowych pracownik\u243?w Banku, do kt\u243?rych ww. pracownik mia\u322? dost\u281?p ju\u380? wcze\u347?niej. Prawid\u322?owe s\u261? tak\u380?e twierdzenia zar\u243?wno organu, jak i Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie, \u380?e w sprawie nie by\u322?o istotne to czy osoba nieuprawniona faktycznie zapozna\u322?a si\u281? z danymi osobowymi innych os\u243?b, a wy\u322?\u261?cznie to, \u380?e wyst\u261?pi\u322?o takie ryzyko, tj. \u380?e osoba do tego nieuprawniona mia\u322?a mo\u380?liwo\u347?\u263? zapoznania si\u281? z tymi danymi. Na wynik sprawy w \u380?aden spos\u243?b nie mog\u322?o mie\u263? r\u243?wnie\u380? wp\u322?ywu nieprzeprowadzenie dowodu z zezna\u324? \u347?wiadka, o kt\u243?re wnioskowa\u322? Bank, bowiem okoliczno\u347?ci na jakie mia\u322?yby zosta\u263? przeprowadzone wnioskowane dowody, na co s\u322?usznie zwr\u243?ci\u322? uwag\u281? Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, pozostawa\u322?y bez wp\u322?ywu na rozstrzygni\u281?cie.
\par 
\par W zwi\u261?zku zatem z tym, \u380?e ocena materia\u322?u dowodowego dokonana przez organ i zaakceptowana przez S\u261?d I instancji nie zosta\u322?a w skardze kasacyjnej skutecznie podwa\u380?ona, to w konsekwencji powy\u380?szego, S\u261?d I instancji prawid\u322?owo, na podstawie art. 151 p.p.s.a. oddali\u322? skarg\u281? Banku.
\par 
\par Nie m\u243?g\u322? tak\u380?e odnie\u347?\u263? skutku zarzut naruszenia art. 1 \u167? 1 i 2 ustawy z dnia 25 lipca 2002 r. Prawo o ustroju s\u261?d\u243?w administracyjnych (Dz. U. z 2024 r., poz. 1267) \u8211? dalej: p.u.s.a. i art. 3 \u167? 1 i \u167? 2 pkt 1 w zwi\u261?zku z art. 141 \u167? 4 p.p.s.a., kt\u243?rego strona skar\u380?\u261?ca kasacyjnie upatruje w sporz\u261?dzeniu przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie uzasadnienia zaskar\u380?onego wyroku, nieodpowiadaj\u261?cego wymogom okre\u347?lonym w art. 141 \u167? 4 p.p.s.a. w zwi\u261?zku z ca\u322?kowitym braku rozpoznania i dokonania oceny prawnej zaskar\u380?onej decyzji Prezesa Urz\u281?du Ochrony Danych Osobowych, w kontek\u347?cie wskazanych wy\u380?ej sprzeczno\u347?ci z przepisami prawa materialnego, a w szczeg\u243?lno\u347?ci podniesionego w skardze zarzutu naruszenia przez organ art. 34 ust. 1 RODO i pomini\u281?cia elementu prawdopodobie\u324?stwa przy wycenie ryzyka naruszenia praw lub wolno\u347?ci osoby fizycznych, a nast\u281?pnie dania temu wyrazu w uzasadnieniu zaskar\u380?onego wyroku, podczas gdy S\u261?d I instancji winien zdaniem skar\u380?\u261?cego kasacyjnie oceni\u263? wszechstronnie kwesti\u281? prawid\u322?owo\u347?ci rozstrzygni\u281?cia administracyjnego, w tym z punktu widzenia zastosowania przepis\u243?w prawa materialnego, jak te\u380? odpowiednio to uzasadni\u263? - czego nie uczyni\u322?.
\par 
\par Odnosz\u261?c si\u281? w pierwszej kolejno\u347?ci do zarzutu naruszenia art. 1 \u167? 1 i 2 p.u.s.a. wskaza\u263? nale\u380?y, \u380?e przepis ten ma charakter ustrojowy i normuje zakres i kryterium kontroli dzia\u322?alno\u347?ci administracji publicznej przez s\u261?dy administracyjne i jako taki co do zasady nie mo\u380?e stanowi\u263? samodzielnej podstawy kasacyjnej. Mo\u380?e by\u263? on skutecznie wskazany jako naruszenie w ramach drugiej podstawy kasacyjnej w powi\u261?zaniu z konkretnie oznaczonymi przepisami p.p.s.a. (wyrok NSA z dnia 11 maja 2012 r., I OSK 70/12, LEX nr 1166069; wyrok NSA z dnia 26 lutego 2009 r., II FSK 1660/07, wyrok NSA z dnia 11 marca 2009 r., II FSK 103/08, wyrok NSA z dnia 23 listopada 2010 r., I GSK 445/10; wyrok NSA z dnia 6 lipca 2011 r., II GSK 1185/11, LEX nr 1083277; wyrok NSA z dnia 24 kwietnia 2008 r., FSK 576/07, LEX nr 475570). Skuteczno\u347?\u263? zarzutu naruszenia powy\u380?szego przepisu uzale\u380?niona jest zatem od skuteczno\u347?ci zarzut\u243?w naruszenia przepis\u243?w, kt\u243?re strona skar\u380?\u261?ca kasacyjnie powi\u261?za\u322?a z zarzutem naruszenia ww. przepisu.
\par 
\par W zwi\u261?zku z powy\u380?szym przechodz\u261?c do zarzutu naruszenia art. 3 \u167? 1 i \u167? 2 pkt 1 p.p.s.a., z kt\u243?rym powi\u261?zano zarzut naruszenia art. 1 \u167? 1 i 2 p.u.s.a., wskaza\u263? nale\u380?y, \u380?e przepis ten okre\u347?la zakres kognicji s\u261?du administracyjnego i w istocie nie zawiera samodzielnej tre\u347?ci normatywnej, okre\u347?la wy\u322?\u261?cznie zakres post\u281?powania s\u261?dowoadministracyjnego i r\u243?wnie\u380? nie mo\u380?e by\u263? podstaw\u261? zarzutu kasacyjnego z art. 174 pkt 2 tej ustawy bez powi\u261?zania z innymi przepisami procesowymi (por. wyrok NSA z dnia 8 kwietnia 2008 r., I FSK 277/07; wyrok NSA z dnia 4 wrze\u347?nia 2008 r., I OSK 266/08, LEX nr 490087; postanowienie NSA z dnia 9 grudnia 2009 r., II OSK 1375/09, LEX nr 582850). Przepis ten ma charakter ustrojowy, okre\u347?laj\u261?c w spos\u243?b najbardziej og\u243?lny i generalny zakres sprawowania wymiaru sprawiedliwo\u347?ci przez s\u261?dy administracyjne. Zawarte w nim unormowania nie mog\u261? stanowi\u263? samodzielnej podstawy kasacyjnej, albowiem s\u261?dy administracyjne realizuj\u261? swoje ustawowe kompetencje w ramach wykonywania kontroli legalno\u347?ci administracji publicznej na podstawie i w trybie szeregu konkretnych, okre\u347?lonych przepis\u243?w prawa, kt\u243?re w przypadku zarzutu ich naruszenia, winny by\u263? wskazane w skardze kasacyjnej z towarzysz\u261?cym temu sprecyzowaniem i umotywowaniem: do jakiego przekroczenia b\u261?d\u378? niedope\u322?nienia prawa dosz\u322?o i na czym ono polega\u322?o.
\par 
\par Wreszcie wi\u281?c nawi\u261?zuj\u261?c do zarzutu naruszenia art. 141 \u167? 4 p.p.s.a., z kt\u243?rym powi\u261?zano zarzut naruszenia powy\u380?szych przepis\u243?w, wyja\u347?ni\u263? nale\u380?y, \u380?e zarzut ten mo\u380?e by\u263? skutecznie postawiony w dw\u243?ch przypadkach: gdy uzasadnienie wyroku nie zawiera wszystkich element\u243?w, wymienionych w tym przepisie i gdy w ramach przedstawienia stanu sprawy, wojew\u243?dzki s\u261?d administracyjny nie wska\u380?e, jaki i dlaczego stan faktyczny przyj\u261?\u322? za podstaw\u281? orzekania (por. uchwa\u322?a NSA z dnia 15 lutego 2010 r., sygn. akt: II FPS 8/09, LEX nr 552012, wyrok NSA z dnia 20 sierpnia 2009 r., sygn. akt: II FSK 568/08, LEX nr 513044). Naruszenie to, jak ju\u380? wskazywano, musi by\u263? przy tym na tyle istotne, aby mog\u322?o mie\u263? wp\u322?yw na wynik sprawy (art. 174 pkt 2 p.p.s.a.). Za jego pomoc\u261? nie mo\u380?na skutecznie zwalcza\u263? prawid\u322?owo\u347?ci przyj\u281?tego przez s\u261?d stanu faktycznego, czy te\u380? stanowiska s\u261?du co do wyk\u322?adni b\u261?d\u378? zastosowania prawa materialnego. Przepis art.141 \u167? 4 p.p.s.a. jest przepisem proceduralnym, reguluj\u261?cym wymogi uzasadnienia. W ramach rozpatrywania zarzutu naruszenia tego przepisu Naczelny S\u261?d Administracyjny zobowi\u261?zany jest jedynie do kontroli zgodno\u347?ci uzasadnienia zaskar\u380?onego wyroku z wymogami wynikaj\u261?cymi z powy\u380?szej normy prawnej. Wadliwo\u347?\u263? uzasadnienia orzeczenia mo\u380?e stanowi\u263? przedmiot skutecznego zarzutu kasacyjnego z art. 141 \u167? 4 p.p.s.a., w sytuacji gdy sporz\u261?dzone jest ono w taki spos\u243?b, \u380?e niemo\u380?liwa jest kontrola instancyjna zaskar\u380?onego wyroku (por. postanowienie NSA z dnia 22 maja 2014 r., II OSK 481/14). Tymczasem uzasadnienie zaskar\u380?onego w niniejszej sprawie wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie wbrew twierdzeniom strony skar\u380?\u261?cej kasacyjnie zawiera przedstawienie stanu sprawy, zarzut\u243?w podniesionych w skardze, stanowiska strony przeciwnej, podstaw\u281? prawn\u261? rozstrzygni\u281?cia oraz jej wyja\u347?nienie, tak\u380?e w zakresie rozumienia art. 34 ust. 1 rozporz\u261?dzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u243?b fizycznych w zwi\u261?zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u322?ywu takich danych oraz uchylenia dyrektywy 95/46/WE (og\u243?lne rozporz\u261?dzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., str. 35), dalej jako: "RODO". S\u261?d I instancji odni\u243?s\u322? si\u281? do wszystkich kwestii istotnych z punktu widzenia rozstrzygni\u281?cia sprawy i wskaza\u322? powody, dla kt\u243?rych uzna\u322?, \u380?e skarga Banku na decyzj\u281? Prezesa Urz\u281?du Ochrony Danych Osobowych z dnia 19 stycznia 2022 r., nr DKN.5131.33.2021 nie zas\u322?ugiwa\u322?a na uwzgl\u281?dnienie. Nale\u380?y podkre\u347?li\u263? przy tym, \u380?e wadliwo\u347?\u263? uzasadnienia orzeczenia mo\u380?e stanowi\u263? przedmiot skutecznego zarzutu kasacyjnego z art. 141 \u167? 4 p.p.s.a. w sytuacji, gdy sporz\u261?dzone jest ono w taki spos\u243?b, \u380?e niemo\u380?liwa jest kontrola instancyjna zaskar\u380?onego wyroku (por. postanowienie NSA z dnia 22 maja 2014 r., II OSK 481/14). Natomiast tre\u347?\u263? uzasadnienia zaskar\u380?onego w niniejszej sprawie wyroku Wojew\u243?dzkiego S\u261?du Administracyjnego w Warszawie, wbrew twierdzeniom autora skargi kasacyjnej, czyni go w pe\u322?ni poddaj\u261?cym si\u281? kontroli kasacyjnej i wprost wynika z niego rezultat i wnioski przeprowadzonej kontroli dzia\u322?alno\u347?ci administracji publicznej. Na marginesie jedynie mo\u380?na doda\u263?, \u380?e obowi\u261?zek odniesienia si\u281? do zarzut\u243?w skargi oznacza konieczno\u347?\u263? odniesienia si\u281? do kwestii istotnych z punktu widzenia rozstrzygni\u281?cia sprawy. Podkre\u347?li\u263? nale\u380?y, \u380?e przywo\u322?any przez autora skargi kasacyjnej art. 141 \u167? 4 p.p.s.a. nie wymaga szczeg\u243?\u322?owego odniesienia si\u281? przez S\u261?d I instancji do wszystkich zarzut\u243?w skargi oraz podniesionej w niej argumentacji, ale wymaga odniesienia si\u281? do tych zarzut\u243?w, kt\u243?rych zbadanie jest niezb\u281?dne do przeprowadzenia kontroli zaskar\u380?onego aktu administracyjnego, co mia\u322?o miejsce w realiach tej sprawy. Zarzutu naruszenia art. 141 \u167? 4 p.p.s.a. nie mo\u380?e zatem skutecznie uzasadnia\u263? nieuwzgl\u281?dnieniem wszystkich zarzut\u243?w skargi, czy nieodniesieniem si\u281? przez s\u261?d do wszystkich kwestii podnoszonych przez stron\u281?. To, \u380?e skar\u380?\u261?cy kasacyjnie nie jest przekonany o trafno\u347?ci rozstrzygni\u281?cia sprawy przez s\u261?d, nie oznacza jeszcze wadliwo\u347?ci uzasadnienia wyroku (por. wyrok NSA z 30 listopada 2011 r., sygn. akt I OSK 1451/11). Brak przekonania strony o trafno\u347?ci rozstrzygni\u281?cia sprawy, w tym co do przyj\u281?tego kierunku wyk\u322?adni i zastosowania prawa, czy te\u380? oceny zgromadzonego w sprawie materia\u322?u dowodowego, kt\u243?ra nie koresponduje z oczekiwaniami skar\u380?\u261?cego kasacyjnie, nie oznacza wadliwo\u347?ci uzasadnienia wyroku. Polemika z merytorycznym stanowiskiem s\u261?du pierwszej instancji nie mo\u380?e czyni\u263? skutecznym zarzutu naruszenia art. 141 \u167? 4 p.p.s.a. Dlatego zarzuty naruszenia art. 141 \u167? 4 p.p.s.a. uzna\u263? nale\u380?a\u322?o za nieskuteczne.
\par 
\par Przechodz\u261?c natomiast do oceny zarzut\u243?w sformu\u322?owanych przez stron\u281? skar\u380?\u261?c\u261? kasacyjnie w ramach pierwszej podstawy kasacyjnej przypomnie\u263? nale\u380?y, \u380?e naruszenie prawa materialnego mo\u380?e przejawia\u263? si\u281? w dw\u243?ch postaciach: jako b\u322?\u281?dna wyk\u322?adnia albo jako niew\u322?a\u347?ciwe zastosowanie okre\u347?lonego przepisu prawa. Podnosz\u261?c zarzut naruszenia prawa materialnego przez jego b\u322?\u281?dn\u261? wyk\u322?adni\u281? wykaza\u263? nale\u380?y, \u380?e s\u261?d mylnie zrozumia\u322? stosowany przepis prawa, natomiast uzasadniaj\u261?c zarzut niew\u322?a\u347?ciwego zastosowania przepisu prawa materialnego wykaza\u263? nale\u380?y, \u380?e s\u261?d stosuj\u261?c przepis pope\u322?ni\u322? b\u322?\u261?d subsumcji, czyli \u380?e niew\u322?a\u347?ciwie uzna\u322?, i\u380? stan faktyczny przyj\u281?ty w sprawie odpowiada lub nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykaza\u263? musi, jak w jego ocenie powinna by\u263? rozumiana norma zawarta w stosowanym przepisie prawa, czyli jaka powinna by\u263? jego prawid\u322?owa wyk\u322?adnia. Jednocze\u347?nie nale\u380?y podkre\u347?li\u263?, \u380?e ocena zasadno\u347?ci zarzutu naruszenia prawa materialnego mo\u380?e by\u263? dokonana wy\u322?\u261?cznie na podstawie ustalonego w sprawie stanu faktycznego, nie za\u347? na podstawie stanu faktycznego, kt\u243?ry skar\u380?\u261?cy uznaje za prawid\u322?owy (por. wyrok NSA z dnia 13 sierpnia 2013 r., II GSK 717/12, LEX nr 1408530; wyrok NSA z dnia 4 lipca 2013 r., I GSK 934/12, LEX nr 1372091).
\par 
\par Tre\u347?\u263? dw\u243?ch pierwszych zarzut\u243?w naruszenia prawa materialnego umo\u380?liwia ich \u322?\u261?czne rozpoznanie, bowiem na ich podstawie strona skar\u380?\u261?ca kasacyjnie zarzucaj\u261?c S\u261?dowi I instancji naruszenie art. 34 ust. 1 RODO, poprzez dokonanie b\u322?\u281?dnej wyk\u322?adni ww. przepisu. Z tre\u347?ci tych zarzut\u243?w wynika jednak, \u380?e w rzeczywisto\u347?ci strona skar\u380?\u261?ca kasacyjnie nie podwa\u380?a rozumienia ww. przepisu przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, w szczeg\u243?lno\u347?ci w zakresie zawartej w tym przepisie przes\u322?anki "wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych", lecz usi\u322?uje zakwestionowa\u263? stanowisko organu oraz S\u261?du I instancji wyra\u380?one w niniejszej sprawie, zgodnie z kt\u243?rym takie wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych wyst\u261?pi\u322?o w niniejszej sprawie, kwestionuj\u261?c tym samym dokonane przez organ i zaakceptowane przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie ustalenia faktyczne w niniejszej sprawie. Tak skonstruowane zarzuty dokonania b\u322?\u281?dnej wyk\u322?adni art. 34 ust. 1 RODO nie mog\u322?y odnie\u347?\u263? skutku.
\par 
\par W zwi\u261?zku z konstrukcj\u261? omawianych zarzut\u243?w podkre\u347?li\u263? nale\u380?y, \u380?e podnosz\u261?c zarzut b\u322?\u281?dnej wyk\u322?adni okre\u347?lonych przepis\u243?w prawa strona skar\u380?\u261?ca kasacyjnie powinna wskaza\u263?, na czym polega b\u322?\u281?dne rozumienie tych przepis\u243?w i jaka, jej zdaniem, powinna by\u263? ich prawid\u322?owa wyk\u322?adnia. Tymczasem w niniejszej sprawie strona skar\u380?\u261?ca kasacyjnie nie tylko nie wykaza\u322?a na czym polega w jej ocenie b\u322?\u281?dne rozumienie art. 34 ust. 1 RODO i zawartej w niej przes\u322?anki "wysokiego ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych" przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, ani te\u380? jaka powinna by\u263? jego prawid\u322?owa wyk\u322?adnia, lecz w og\u243?le nie odnosi\u322?a si\u281? do kwestii rozumienia tego przepisu przyj\u281?tego przez S\u261?d I instancji, ograniczaj\u261?c si\u281? wy\u322?\u261?cznie do pr\u243?by zakwestionowania na podstawie omawianych zarzut\u243?w ustale\u324? i ocen w zakresie stanu faktycznego sprawy.
\par 
\par Nale\u380?y zwr\u243?ci\u263? uwag\u281?, \u380?e je\u347?li zgodnie z art. 34 ust. 1 RODO, "Je\u380?eli naruszenie ochrony danych osobowych mo\u380?e powodowa\u263? wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, administrator bez zb\u281?dnej zw\u322?oki zawiadamia osob\u281?, kt\u243?rej dane dotycz\u261?, o takim naruszeniu", to aby zweryfikowa\u263? prawid\u322?owo\u347?\u263? twierdzenia, zgodnie z kt\u243?rym "prawodawca unijny nie uzale\u380?ni\u322? w przepisie art. 34 ust. 1 RODO wyst\u261?pienia wysokiego ryzyka praw i wolno\u347?ci osoby fizycznej od zakresu danych, lecz od szerszych okoliczno\u347?ci, takich jak: charakter i waga naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutk\u243?w dla osoby, kt\u243?rej dane dotycz\u261?" konieczne by\u322?o wskazanie prawid\u322?owego \u8211? w ocenie strony skar\u380?\u261?cej kasacyjnie \u8211? rozumienia zwrotu "wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych". Tylko bowiem w\u243?wczas mo\u380?na ustali\u263?, jakie elementy on obejmuje. Tymczasem strona skar\u380?\u261?ca kasacyjnie wskazuje jedynie, \u380?e "przy wycenie ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych koniecznym jest uwzgl\u281?dnienie prawdopodobie\u324?stwa, \u380?e naruszenie ochrony danych osobowych spowoduje wysokie ryzyko wyst\u261?pienia negatywnych skutk\u243?w dla os\u243?b fizycznych". Strona skar\u380?\u261?ca kasacyjnie k\u322?adzie przy tym akcent na przes\u322?ank\u281? prawdopodobie\u324?stwa, kt\u243?ra jej zdaniem nie zosta\u322?a zbadana. Argument taki podniesiony w ramach zarzutu b\u322?\u281?dnej wyk\u322?adni prawa materialnego, tj. art. 34 ust. 1 RODO nie m\u243?g\u322? odnie\u347?\u263? skutku, gdy si\u281? zwa\u380?y, \u380?e kwestia prawdopodobie\u324?stwa jest elementem definicyjnym poj\u281?cia ryzyka, kt\u243?re oznacza "prawdopodobie\u324?stwo wyst\u261?pienia negatywnych skutk\u243?w, mo\u380?liwo\u347?\u263?, \u380?e co\u347? si\u281? nie uda" (Internetowy S\u322?owniki J\u281?zyka Polskiego PWN), a organ wskaza\u322? okoliczno\u347?ci, kt\u243?re uzasadnia\u322?y ocen\u281? wysokiego ryzyka wyst\u261?pienia negatywnych skutk\u243?w dla os\u243?b fizycznych. Niezale\u380?nie od tego, w motywie 76 RODO wskazano, \u380?e "Prawdopodobie\u324?stwo i powag\u281? ryzyka naruszenia praw lub wolno\u347?ci osoby, kt\u243?rej dane dotycz\u261?, nale\u380?y okre\u347?li\u263? poprzez odniesienie si\u281? do charakteru, zakresu, kontekstu i cel\u243?w przetwarzania danych. Ryzyko nale\u380?y oszacowa\u263? na podstawie obiektywnej oceny, w ramach kt\u243?rej stwierdza si\u281?, czy z operacjami przetwarzania danych wi\u261?\u380?e si\u281? ryzyko lub wysokie ryzyko". Z kolei, zgodnie z motywem 83 RODO "W celu zachowania bezpiecze\u324?stwa i zapobiegania przetwarzaniu niezgodnemu z niniejszym rozporz\u261?dzeniem administrator lub podmiot przetwarzaj\u261?cy powinni oszacowa\u263? ryzyko w\u322?a\u347?ciwe dla przetwarzania (...) Oceniaj\u261?c ryzyko w zakresie bezpiecze\u324?stwa danych, nale\u380?y wzi\u261?\u263? pod uwag\u281? ryzyko zwi\u261?zane z przetwarzaniem danych osobowych - takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dost\u281?p do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych - i mog\u261?ce w szczeg\u243?lno\u347?ci prowadzi\u263? do uszczerbku fizycznego, szk\u243?d maj\u261?tkowych lub niemaj\u261?tkowych". Nie ma zatem podstaw do przyj\u281?cia, \u380?e dla oceny ryzyka i stopnia ryzyka naruszenia praw lub wolno\u347?ci os\u243?b fizycznych przez naruszenie ochrony danych osobowych nie ma znaczenia zakres danych hipotetycznie ujawnionych osobie nieuprawnionej. Ponadto, z element\u243?w definicyjnych ryzyka oraz z tre\u347?ci art. 4 pkt 12 RODO, zgodnie z kt\u243?rym ""naruszenie ochrony danych osobowych" oznacza naruszenie bezpiecze\u324?stwa prowadz\u261?ce do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dost\u281?pu do danych osobowych przesy\u322?anych, przechowywanych lub w inny spos\u243?b przetwarzanych" wynika, \u380?e ryzyko naruszenia ochrony danych osobowych wyst\u281?puje m.in. w sytuacji "nieuprawnionego dost\u281?pu do danych osobowych". Z tego wzgl\u281?du trafne jest stanowisko organu i S\u261?du I instancji, \u380?e wyst\u261?pienie ryzyka naruszenia ochrony danych osobowych nie jest uzale\u380?nione od tego, czy nieuprawniony odbiorca danych faktycznie zapozna\u322? si\u281? z danymi, do kt\u243?rych posiada\u322? hipotetyczny dost\u281?p.
\par 
\par Omawiane zarzuty nie mog\u322?y odnie\u347?\u263? skutku tak\u380?e przy przyj\u281?ciu \u8211? r\u243?wnie\u380? w ramach ich rekonstrukcji \u8211? \u380?e dotyczy\u322?y one niew\u322?a\u347?ciwego zastosowania art. 34 ust. 1 RODO, bowiem skoro \u8211? jak wy\u380?ej wskazano \u8211? niew\u322?a\u347?ciwe zastosowanie prawa materialnego oznacza b\u322?\u261?d w zakresie subsumcji stanu faktycznego wobec tre\u347?ci stosowanej normy prawnej, to mo\u380?e by\u263? ono konsekwencj\u261? wcze\u347?niejszych b\u322?\u281?dnych ustale\u324? w zakresie stanu faktycznego, jak i b\u322?\u281?dnej wyk\u322?adni prawa materialnego, ale mo\u380?e mie\u263? miejsce r\u243?wnie\u380? wtedy, gdy prawid\u322?owe s\u261? ustalenia i oceny w zakresie stanu faktycznego oraz wyk\u322?adnia prawa materialnego, a wadliwo\u347?\u263? przejawia si\u281? wy\u322?\u261?cznie w zestawieniu stanu faktycznego ze stanem prawnym sprawy. W rozpatrywanej skardze kasacyjnej, jak ju\u380? wskazano, nie zakwestionowano skutecznie ustale\u324? i ocen w zakresie stanu faktycznego. W tre\u347?ci podniesionych zarzut\u243?w nie podwa\u380?ono r\u243?wnie\u380? prawid\u322?owo\u347?ci, na co r\u243?wnie\u380? zwr\u243?cono uwag\u281?, wyk\u322?adni prawa materialnego w zakresie obj\u281?tym omawianymi zarzutami i stosowanego w realiach niniejszej sprawy. Oznacza to, \u380?e w realiach rozpatrywanej sprawy istotne jest zweryfikowanie, czy w podniesionych zarzutach strona skar\u380?\u261?ca kasacyjnie wykaza\u322?a, \u380?e S\u261?d I instancji w przyj\u281?tym przez ten S\u261?d stanie faktycznym i prawnym sprawy dokona\u322? ich wadliwego zestawienia. W ocenie Naczelnego S\u261?du Administracyjnego tre\u347?\u263? omawianych zarzut\u243?w nie daje jednak podstaw do przyj\u281?cia wype\u322?nienia tego obowi\u261?zku przez stron\u281? skar\u380?\u261?c\u261? kasacyjnie.
\par 
\par Jednak o nieskuteczno\u347?ci omawianych zarzut\u243?w \u347?wiadczy zatem przede wszystkim ich tre\u347?\u263?, kt\u243?ra ewidentnie wskazuje na to, \u380?e strona skar\u380?\u261?ca kasacyjnie na ich podstawie kwestionuje ustalenia i oceny w zakresie stanu faktycznego sprawy upatruj\u261?c wadliwo\u347?ci dzia\u322?ania S\u261?du I instancji w b\u322?\u281?dnej jej zdaniem ocenie, \u380?e wymienione w art. 34 ust. 1 RODO wysokie ryzyko naruszenia praw lub wolno\u347?ci os\u243?b fizycznych, tj. pracownik\u243?w banku w zwi\u261?zku z nieuprawnionymi dzia\u322?aniami by\u322?ego pracownika departamentu [...], zaistnia\u322?o w niniejszej sprawie. Tego rodzaju oceny i ustalenia mo\u380?na natomiast kwestionowa\u263? zarzutami naruszenia przepis\u243?w post\u281?powania. Zgodnie z ugruntowanymi pogl\u261?dami prezentowanymi w orzecznictwie Naczelnego S\u261?du Administracyjnego niedopuszczalne jest zast\u281?powanie zarzutu naruszenia przepis\u243?w post\u281?powania, zarzutem naruszenia prawa materialnego i za jego pomoc\u261? kwestionowanie ustale\u324? faktycznych. Pr\u243?ba zwalczenia ustale\u324? faktycznych poczynionych przez s\u261?d pierwszej instancji nie mo\u380?e nast\u261?pi\u263? przez zarzut naruszenia prawa materialnego (zob. wyrok NSA z dnia 29 stycznia 2013 r., I OSK 2747/12, LEX nr 1269660; wyrok NSA z dnia 6 marca 2013 r., II GSK 2327/11, LEX nr 1340137). Ocena zarzutu naruszenia prawa materialnego mo\u380?e by\u263? dokonana wy\u322?\u261?cznie na podstawie konkretnego stanu faktycznego, nie za\u347? na podstawie stanu faktycznego, kt\u243?ry skar\u380?\u261?cy uznaje za prawid\u322?owy (zob. wyrok NSA z dnia 6 marca 2013 r., II GSK 2328/11, LEX nr 1340138; wyrok NSA z dnia 14 lutego 2013 r., II GSK 2173/11, LEX nr 1358369). Je\u380?eli strona skar\u380?\u261?ca kasacyjnie uwa\u380?a, \u380?e ustalenia faktyczne s\u261? b\u322?\u281?dne, to zarzut naruszenia prawa materialnego poprzez b\u322?\u281?dne zastosowanie jest co najmniej przedwczesny, za\u347? zarzut naruszenia prawa przez b\u322?\u281?dn\u261? jego wyk\u322?adni\u281? \u8211? niezasadny. Zarzut naruszenia prawa materialnego nie mo\u380?e opiera\u263? si\u281? na wadliwym (kwestionowanym przez stron\u281?) ustaleniu faktu (zob. wyrok NSA z dnia 13 marca 2013 r., II GSK 2391/11, LEX nr 1296051). Dlatego przede wszystkim z tego powodu omawiane zarzuty okaza\u322?y si\u281? niezasadne.
\par 
\par Nie m\u243?g\u322? tak\u380?e odnie\u347?\u263? skutku zarzut dokonania b\u322?\u281?dnej wyk\u322?adni art. 34 ust. 1 RODO uargumentowany przez skar\u380?\u261?cego kasacyjnie nieprawid\u322?owym jego zdaniem przyj\u281?ciem przez Wojew\u243?dzki S\u261?d Administracyjny w Warszawie, \u380?e by\u322?y pracownik Banku (pracownik departamentu [...]) nie m\u243?g\u322? zosta\u263? uznany za zaufanego odbiorc\u281? w my\u347?l wytycznych WP250 rev.01 wydanych przez Grup\u281? Robocz\u261? art. 29, bowiem r\u243?wnie\u380? na podstawie tego zarzutu skar\u380?\u261?cy kasacyjnie nie wskazuje na czym polega b\u322?\u281?dne rozumienie art. 34 ust. 1 RODO i jaka, jego zdaniem, powinna by\u263? jego prawid\u322?owa wyk\u322?adnia, lecz ponownie usi\u322?uje zakwestionowa\u263? ustalenia faktyczne poczynione w sprawie \u8211? tym razem w zakresie ustalenia charakteru by\u322?ego pracownika Banku w kontek\u347?cie mo\u380?liwo\u347?ci uznania go za "zaufanego odbiorc\u281?".
\par 
\par Nieskuteczny okaza\u322? si\u281? tak\u380?e zarzut niezastosowania art. 34 ust. 3 lit. a RODO i "w konsekwencji nieuprawnione uznanie, \u380?e Bank nie zastosowa\u322? \u347?rodk\u243?w bezpiecze\u324?stwa, kt\u243?re obni\u380?y\u322?y ryzyko naruszenia praw lub wolno\u347?ci podmiot\u243?w danych do poziomu przynajmniej \u347?redniego podczas, gdy Bank posiada\u322? od nieuprawnionego odbiorcy (by\u322?ego pracownika departamentu [...] na stanowisku kierowniczym) o\u347?wiadczenie o bezterminowym zachowaniu tajemnicy i poufno\u347?ci, a pracownik ten podlega\u322? szkoleniom z zakresu ochrony danych osobowych, nadto Platforma Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych stosuje techniczne \u347?rodki bezpiecze\u324?stwa, takie jak uwierzytelnianie u\u380?ytkownik\u243?w i dost\u281?p oparty na rolach, a dzia\u322?ania u\u380?ytkownik\u243?w zapisywane s\u261? w logach".
\par 
\par W orzecznictwie Naczelnego S\u261?du Administracyjnego prezentowane jest bowiem stanowisko, zgodnie z kt\u243?rym nie jest dopuszczalne w \u347?wietle brzmienia art. 174 p.p.s.a. formu\u322?owanie zarzutu skargi kasacyjnej jako naruszenie przepisu prawa "poprzez jego niezastosowanie" czy "pomini\u281?cie" (por. wyrok NSA z dnia 3 grudnia 2008 r., I OSK 1807/07, LEX nr 525973; wyrok NSA z dnia 14 maja 2007 r., I OSK 1247/06, LEX nr 342527; wyrok NSA z dnia 28 marca 2007 r., I OSK 31/07, LEX nr 327781; postanowienie NSA z dnia 2 marca 2012 r., I OSK 294/12, LEX nr 1136684). Zgodnie jednak z dominuj\u261?cym pogl\u261?dem wyra\u380?anym w orzecznictwie s\u261?dowoadministracyjnym, w ramach pierwszej podstawy kasacyjnej mo\u380?liwe jest r\u243?wnie\u380? kwestionowanie niezastosowania okre\u347?lonego przepisu prawa, z tym jednak zastrze\u380?eniem, \u380?e je\u380?eli strona skar\u380?\u261?ca kasacyjnie podnosi w skardze kasacyjnej, \u380?e S\u261?d rozpoznaj\u261?cy spraw\u281? zastosowa\u322? nie ten przepis prawa materialnego, kt\u243?ry powinien by\u263? zastosowany, to powinna wskaza\u263? przepis w\u322?a\u347?ciwy jako podstaw\u281? materialn\u261? rozstrzygni\u281?cia i uzasadni\u263?, dlaczego ten w\u322?a\u347?nie przepis powinien lec u podstaw kwestionowanego rozstrzygni\u281?cia, tj. dlaczego powinien by\u263? zastosowany (por. wyrok NSA z dnia 14 kwietnia 2004 r., OSK 121/04, Lex 120212; wyrok NSA z dnia 19 grudnia 2005 r., II OSK 299/05, LEX nr 190971; wyrok NSA z dnia 15 marca 2011 r., II OSK 323/10, LEX nr 1080252). Zarzut niew\u322?a\u347?ciwego zastosowania prawa materialnego w postaci pozytywnej, czyli zarzucenia zastosowania normy prawnej, kt\u243?ra nie powinna by\u263? w danej sprawie zastosowana, a tak\u380?e w postaci negatywnej, czyli zarzucenia niezastosowania normy prawnej, kt\u243?ra w ocenie wnosz\u261?cego skarg\u281? kasacyjn\u261? powinna by\u263? zastosowana, wymaga nale\u380?ytej precyzji w jego konstruowaniu w konkretnej sprawie (por. wyrok NSA z dnia 3 pa\u378?dziernika 2013 r., II FSK 1020/12, LEX nr 1382183). Niezastosowany przez s\u261?d w procesie kontroli przepis prawa materialnego mo\u380?e stanowi\u263? podstaw\u281? skargi kasacyjnej, je\u380?eli w konkretnym stanie faktycznym istnia\u322?y podstawy do dokonania subsumcji (zob. B. Dauter: Prawo o post\u281?powaniu przed s\u261?dami administracyjnymi. Komentarz do art. 174 Prawa o post\u281?powaniu przed s\u261?dami administracyjnymi, teza 5, Lex 2013; wyrok NSA z dnia 16 marca 2011 r., II GSK 400/10, LEX nr 1080145), a s\u261?d nie dostrzegaj\u261?c w\u322?a\u347?ciwej podstawy opar\u322? swoje rozstrzygni\u281?cie na podstawie niew\u322?a\u347?ciwej. Nale\u380?y zatem stwierdzi\u263?, \u380?e nie dyskwalifikowa\u322?oby omawianego zarzutu skargi kasacyjnej wskazanie przez stron\u281? skar\u380?\u261?c\u261? kasacyjnie na niezastosowanie art. 34 ust. 3 lit. a RODO jedynie wtedy, gdyby strona skar\u380?\u261?ca kasacyjnie jednocze\u347?nie przywo\u322?a\u322?a przepis lub przepisy, kt\u243?re w jej przekonaniu zosta\u322?y wadliwie zastosowane zamiast przepisu przez ni\u261? wskazywanego wraz z podaniem uzasadnienia tego stanowiska. Jednak wymogu tego skarga kasacyjna nie spe\u322?nia, co tym samym czyni podnoszony zarzut niezastosowania art. 34 ust. 3 lit. a RODO nieskutecznym. Nawet, gdyby przyj\u261?\u263?, \u380?e niezastosowanie art. 34 ust. 3 lit. a RODO wi\u261?\u380?e si\u281? z niew\u322?a\u347?ciwym zastosowaniem art. 34 ust. 1 RODO, kt\u243?rego dotycz\u261? trzy pierwsze zarzuty naruszenia prawa materialnego, to r\u243?wnie\u380? w tym przypadku omawiany zarzut nie m\u243?g\u322? odnie\u347?\u263? skutku, skoro nieskuteczne okaza\u322?y si\u281? zarzuty naruszenia art. 34 ust. 1 RODO.
\par 
\par Wreszcie nieskutecznie r\u243?wnie\u380? strona skar\u380?\u261?ca kasacyjnie podnosi dokonanie przez S\u261?d I instancji b\u322?\u281?dnej wyk\u322?adni art. 4 pkt 15 RODO, a tak\u380?e niew\u322?a\u347?ciwe zastosowanie powy\u380?szego przepisu, a tak\u380?e niezastosowanie art. 58 ust. 1 ustawy z dnia 25 czerwca 1999 r. o \u347?wiadczeniach pieni\u281?\u380?nych z ubezpieczenia spo\u322?ecznego w razie choroby i macierzy\u324?stwa (Dz. U. z 2025 r., poz. 501), kt\u243?rego to naruszenia strona skar\u380?\u261?ca kasacyjnie upatruje w uznaniu, \u380?e dane zawarte na Platformie Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych w postaci elektronicznych zwolnie\u324? lekarskich stanowi\u261? dane dotycz\u261?ce zdrowia, a w konsekwencji maj\u261? wp\u322?yw na wymiar kary pieni\u281?\u380?nej (jej podwy\u380?szenie) wymierzonej Bankowi, podczas gdy informacje te w ocenie strony skar\u380?\u261?cej kasacyjnie nie stanowi\u261? danych dotycz\u261?cych zdrowia, bowiem nie s\u261? informacjami o stanie zdrowia osoby fizycznej. Tre\u347?\u263? powy\u380?szego zarzutu \u347?wiadczy zatem o tym, \u380?e na jego podstawie strona skar\u380?\u261?ca kasacyjnie ponownie usi\u322?uje na podstawie zarzutu naruszenia prawa materialnego zwalczy\u263? ustalenia faktyczne \u8211? tym razem w zakresie kwalifikacji i oceny charakteru danych zawartych na Platformie Us\u322?ug Elektronicznych Zak\u322?adu Ubezpiecze\u324? Spo\u322?ecznych, a jak ju\u380? wskazywano tego rodzaju oceny i ustalenia mo\u380?na kwestionowa\u263? wy\u322?\u261?cznie zarzutami naruszenia przepis\u243?w post\u281?powania. Niezale\u380?nie od tego nale\u380?y zwr\u243?ci\u263? uwag\u281?, \u380?e skoro zgodnie z art. 4 pkt 15 RODO "dane dotycz\u261?ce zdrowia" to dane ujawniaj\u261?ce informacje o stanie zdrowia osoby fizycznej, to sam fakt uzyskania zwolnienia lekarskiego wskazuje na stan zdrowia osoby fizycznej, jako stan wymagaj\u261?cy zwolnienia z pracy.
\par 
\par Skoro podniesione w skardze kasacyjnej zarzuty okaza\u322?y si\u281? nieskuteczne, Naczelny S\u261?d Administracyjny nie mia\u322? podstaw do jej uwzgl\u281?dnienia, co skutkowa\u322?o oddaleniem skargi kasacyjnej w oparciu o art. 184 p.p.s.a.
\par 
\par O kosztach post\u281?powania kasacyjnego rozstrzygni\u281?to na podstawie art. 204 pkt 1 p.p.s.a.
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrt\brdrs\brdrw5\brdrcf2
\clbrdrl\brdrs\brdrw5\brdrcf2
\clcbpat1
\clftsWidth3
\clwWidth9346
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell\pard\plain\intbl\s0\fi0\li0\ri0\plain
\cell \trowd
\trftsWidth3\trwWidth9347\trql\trgaph10\trpaddl50\trpaddr50\trpaddfl3\trpaddfr3
\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth1869
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx1869\clbrdrb\brdrs\brdrw10\brdrcf1
\clbrdrr\brdrs\brdrw10\brdrcf1
\clbrdrl\brdrs\brdrw10\brdrcf1
\clcbpat1
\clftsWidth3
\clwWidth7477
\clpadl50\clpadt50\clpadr50\clpadb50\clpadfl3\clpadft3\clpadfr3\clpadfb3\cellx9346\row
\pard}