Centralna Baza Orzeczeń Sądów Administracyjnych

Stwierdzenie naruszenia przepisów art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO, określających wprost obowiązki administratora danych osobowych, jest elementem postępowania wyjaśniającego prowadzonego przez Prezesa UODO w ramach postępowania kontrolnego nakierowanego na wydanie aktu stosowania prawa na podstawie art. 58 ust. 2 lit. b RODO. Stwierdzenie niedochowania art. 5 ust. 1 lit. f i ust. 2 jest przesłanką materialną do zastosowania przepisu art. 58 ust. 2 lit b RODO i orzeczenia wskazanej w nim sankcji administracyjnej.

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Małgorzata Pocztarek Sędziowie Sędzia NSA Rafał Stasikowski (spr.) Sędzia del. WSA Kazimierz Bandarzewski po rozpoznaniu w dniu 20 października 2022 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej Wojewódzkiego Inspektora Nadzoru Budowlanego w Katowicach od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 19 stycznia 2021 r., sygn. akt II SA/Wa 702/20 w sprawie ze skargi Wojewódzkiego Inspektora Nadzoru Budowlanego w Katowicach na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 3 lutego 2020 r., nr ZSZZS.440.100.2019.KL.I w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną.

Wyrokiem z 19 stycznia 2021 r., sygn. akt II SA/Wa 702/20, Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę Wojewódzkiego Inspektora Nadzoru Budowlanego w Katowicach na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 3 lutego 2020 r., nr ZSZZS.440.100.2019.KL.I, w przedmiocie przetwarzania danych osobowych.

Wyrok zapadł w następującym stanie faktycznym i prawnym.

W dniu 10 stycznia 2019 r. (data wpływu do organu) T. O. wniósł do Prezesa Urzędu Ochrony Danych Osobowych (dalej także Prezes UODO) skargę na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Wojewódzkiego Inspektora Nadzoru Budowlanego z siedzibą w Katowicach (dalej także WINB) w zakresie imienia, nazwiska, adresu zamieszkania, numeru ewidencyjnego PESEL oraz danych zawartych w dokumentach sądowych i komorniczych, polegające na udostępnieniu skanów dokumentów w systemie Elektronicznego Zarządzania Dokumentami z jego danymi osobowymi osobie do tego nieupoważnionej, oraz udostępnienie danych osobowych wnioskodawcy, zawartych w kopii protokołu z 24 stycznia 2019 r. pozostawionej na drukarce w korytarzu urzędu obsługującego WINB (inspektoratu).

Decyzją z 3 lutego 2020 r. Prezes Urzędu Ochrony Danych Osobowych orzekł w pkt. 1. – o udzieleniu WINB upomnienia za naruszenie art. 5 ust. 1 lit. f oraz art. 24 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwanego dalej: rozporządzeniem 2016/679 lub RODO), polegające na udostępnieniu skanów dokumentów w systemie EZD z danymi osobowymi wnioskodawcy osobie do tego nieupoważnionej oraz udostępnienie jego danych osobowych zawartych w protokole z dnia 24 stycznia 2019 r. poprzez pozostawienie go na drukarce w korytarzu inspektoratu; w pkt. 2. - o odmowie uwzględnienia wniosku w pozostałym zakresie. Podstawą prawną decyzji był art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm., zwanej dalej: k.p.a.), art. 5 ust. 1 li. f, art. 24 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia 2016/679.

W uzasadnieniu organ ustalił, że wnioskodawca jest pracownikiem inspektoratu. W dniu 21 grudnia 2019 r. został poinformowany (notatką służbową) przez WINB

o tym, że do jego danych osobowych miała dostęp osoba do tego nieuprawniona (pracownik inspektoratu). Wnioskodawca zwrócił się do WINB o szczegółowe wyjaśnienie sprawy dotyczącej udostępnienia jego danych osobowych wraz z żądaniem wskazania osoby, która uzyskała dostęp do jego danych osobowych. WINB oświadczył, że do danych osobowych wnioskodawcy, zawartych w zeskanowanym dokumencie w systemie EZD (w tym nazwiska, adresu zamieszkania, numer PESEL, oraz danych zawartych w dokumentach sądowych i komorniczych) miał dostęp pracownik inspektoratu, którego upoważnienie nie obejmowało dostępu do tego rodzaju danych osobowych.

Zgodnie z wewnętrznymi regulacjami WINB (zarządzenie wewnętrzne WINB nr 3/2019 z dnia 3 stycznia 2019 r. w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji oraz Instrukcji Zarządzania Systemem Informacyjnym) dokumenty, do których miał dostęp nieupoważniony pracownik, nie powinny być zeskanowane

w systemie EZD. WINB podjął działania celem wyjaśnienia sprawy, także zablokował nieuprawniony dostęp do danych osobowych oraz usunął niewłaściwie zeskanowane dokumenty z folderu poczty przychodzącej w systemie EZD. WINB oświadczył, że pracownik uzyskał nieuprawniony dostęp do danych osobowych wnioskodawcy poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu

w związku z niezadziałaniem blokady dostępu w systemie EZD. WINB zgłosił problem z programem EZD do twórcy programu. Po ustaleniu przyczyny WINB dokonał korekty w systemie (weryfikacja i poprawa dostępów użytkowników według nadanych uprawnień). WINB oświadczył, że pracownik, który zeskanował dokumenty niezgodnie z procedurą, został ukarany upomnieniem, natomiast wobec pracownika, który miał dostęp do danych osobowych wnioskodawcy niezgodnie ze swoim upoważnieniem i nie powiadomił o tym fakcie swojego pracodawcy, prowadzone jest postępowanie dyscyplinarne.

WINB oświadczył, iż w dniu 24 stycznia 2019 r. złożył wyjaśnienie u Rzecznika Dyscypliny pracowników inspektoratu w sprawie uzyskania wglądu przez jednego

z pracowników inspektoratu do danych osobowych zawartych w plikach utworzonych w dziale radców prawnych i dziale finansowo-księgowym. Na podstawie złożonych wyjaśnień został spisany protokół zawierający dane osobowe wnioskodawcy. W tym samym dniu znalazł kopię tego protokołu na korytarzu inspektoratu przy kserokopiarce na 9 piętrze. Wnioskodawca zwrócił się do WINB o wyjaśnienie sprawy dotyczącej udostępnienia jego danych osobowych zawartych w protokole poprzez pozostawienie jego kopii na kserokopiarce na 9. piętrze inspektoratu. WINB wskazał, że w dniu 24 stycznia 2019 r. u Rzecznika Dyscyplinarnego WINB nastąpiła awaria drukarki, w związku z czym drukował on dokumenty na urządzeniu wielofunkcyjnym znajdującym się w korytarzu na 9. piętrze Inspektoratu. Podczas drukowania protokołu z przesłuchania wnioskodawcy nastąpiła awaria ww. urządzenia. Dokument wydrukował się z opóźnieniem, następnie został odnaleziony przez wnioskodawcę i przekazany Rzecznikowi Dyscyplinarnego WINB. W związku

z tą sytuacją WINB wyłączył funkcję drukowania na urządzeniu do czasu naprawienia awarii. WINB oświadczył, że z danymi zawartymi w protokole nie zapoznał się żaden inny pracownik inspektoratu oprócz wnioskodawcy oraz Rzecznika Dyscyplinarnego WINB.

Odnosząc się do sposobu zabezpieczania danych osobowych wnioskodawcy, znajdujących się w systemie EZD oraz danych zawartych w kopii protokołu pozostawionym przy drukarce na korytarzu inspektoratu, Prezes UODO wskazał, że administrator jest zobowiązany wdrożyć odpowiednie środki techniczne

i organizacyjne, zapewniające zgodność operacji przetwarzania z obowiązującymi przepisami. Ponadto administrator danych ma obowiązek zapewnienia poufności i integralności danych osobowych, które są przez niego przetwarzane. Oznacza to, że administrator powinien dołożyć wszelkich starań, by zapewnić odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Ocenił, iż WINB powinien zapewniać odpowiedni poziom ochrony danych osobowych wnioskodawcy, znajdujących się w dokumentach zeskanowanych w EZD oraz danych zawartych w protokole. WINB, jako administrator, nie dopełnił jednak obowiązków, które spoczywają na nim w związku z przepisami o ochronie danych osobowych, ponieważ nieodpowiednio zabezpieczył dane wnioskodawcy przed ich udostępnieniem osobom trzecim. Jak wynika ze złożonych przez WINB wyjaśnień, jeden z pracowników zeskanował dokumenty, zawierające dane osobowe wnioskodawcy, następnie skany te wprowadził do systemu EZD niezgodnie z obowiązującą procedurą w inspektoracie. Z kolej inny pracownik uzyskał dostęp do danych osobowych wnioskodawcy korzystając z zasobów systemu EZD, zastrzeżonych dla pracowników innego działu inspektoratu. Pracownik WINB uzyskał dostęp do danych osobowych niezgodnie z zakresem określonym w upoważnieniu nadanym mu przez administratora, przez błąd systemu EZD tj. nie zadziałała blokada dostępu. Według procedury określonej w polityce bezpieczeństwa danych osobowych ustanowionej u skarżącego, pracownik, którego upoważnienie nie obejmowało możliwości zapoznania się z danymi wnioskodawcy, powinien zgłosić ten fakt jako incydent naruszenia bezpieczeństwa danych oraz niewłaściwe funkcjonowanie systemu do administratora danych (WINB) lub wyznaczonego Inspektora Ochrony Danych Osobowych WINB, czego nie uczynił.

Organ ustalił, że WINB, jako administrator, po powzięciu informacji o naruszeniu danych osobowych wnioskodawcy, dokonał szeregu czynności celem zminimalizowania negatywnych skutków tego naruszenia i zapobieżenia wystąpienia podobnych naruszeń w przyszłości. Po pierwsze, zablokował nieuprawniony dostęp

i przeprowadził postępowanie wyjaśniające okoliczności udostępnienia danych osobowych wnioskodawcy, następnie poinformował ww. o zaistniałym zdarzeniu. Ustalił też, że wystąpił błąd w systemie EZD, tj. nie zadziałała blokada dostępu do danych, następnie zgłosił ten problem twórcy programu. Po naprawieniu systemu EZD przez twórców systemu, WINB skorelował nadane uprawnienia pracowników do danych zawartych w systemie EZD. Wobec pracownika, który zeskanował dokumenty niezgodnie z procedurą, skarżący wyciągnął konsekwencje służbowe, natomiast pracownik, który uzyskał nieuprawniony dostęp do danych, został pouczony i jest prowadzone postępowanie zmierzające do wyciągnięcia konsekwencji dyscyplinarnych. Ponadto w dniu 21 grudnia 2018 r. WINB zgłosił naruszenie ochrony danych osobowych do Prezesa UODO.

WINB przyznał, że dane wnioskodawcy zostały udostępnione osobie nieupoważnionej w związku z wystąpieniem błędu w ww. programie. Niemniej naruszenie to miało charakter incydentalny i zostało skorygowane przez WINB.

W związku z powyższym w ocenie Prezesa UODO czynności podjęte przez WINB jako administratora, w szczególności szybka reakcja na naruszenie, należy uznać z adekwatne i dostateczne.

W zakresie żądania wnioskodawcy o usunięcie danych osobowych z systemu elektronicznego EZD, ze względu na niewłaściwe zabezpieczenia ww. programu, organ wskazał, iż jak wynika z wyjaśnień WINB, dane wnioskodawcy jako pracownika są przetwarzane na podstawie przepisów prawa przede wszystkim ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (Dz. U. z 2019 r. poz. 1040 ze zm.). System EZD jest ogólnym system Skarbu Państwa i WINB jako urząd administracji zespolonej korzysta z tego programu od 2013 r. a "wykorzystanie tego systemu wynika z potrzeb realizacji zadań wypełnienia obowiązku prawnego ciążącego na administratorze". W związku z tym żądanie wnioskodawcy nie może zostać uwzględnione, bowiem zgodnie z art. 17 ust. 3 lit. b rozporządzenia 2016/679 administrator zwolniony jest z obowiązku usunięcia danych osobowych, gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państw członkowskich, któremu podlega administrator, a taka okoliczność ma miejsce w niniejszej sprawie.

Prezes UODO uznał, że WINB niewłaściwie zabezpieczył dane osobowe wnioskodawcy poprzez pozostawienie przez Rzecznika Dyscyplinarnego WINB przy kserokopiarce kopii protokołu z 24 stycznia 2019 r. zawierającego te dane. Pomimo wyjaśnień WINB, organ ocenił, że każda osoba niemająca upoważnienia do danych zwartych protokole, mogła zapoznać się z jego treścią. WINB, jako administrator, powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych

Odnosząc się do żądania wnioskodawcy udostępnienia mu danych osobowych osób, które miały nieuprawniony dostęp do jego danych w inspektoracie, organ wskazał, że wnioskodawca nie określił w jakim celu mają zostać mu udostępnione przez WINB dane osobowe tych osób. Słusznie zatem WINB odmówił udostępnienia wnioskodawcy żądanych przez niego danych osobowych.

Prezes UODO uznał, że stwierdzone naruszenie uzasadniało skierowanie pod adresem WINB nakazu z art. 58 ust. 2 rozporządzenia 2016/679 służącego przywróceniu stanu zgodnego z prawem w procesie przetwarzania danych, wobec czego udzielił skarżącemu upomnienia. Za nieuzasadnione uznał natomiast zarzuty wnioskodawcy dotyczące nieudostępnienia przez WINB danych osobowych osób, mających nieuprawniony dostęp do jego danych osobowych w inspektoracie i w tym zakresie odmówił uwzględnienia wniosku.

W skardze na powyższą decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie WINB zaskarżył ww. decyzję w części dotyczącej punktu 1. (tj. udzielenia upomnienia za naruszenie art. 5 ust. 1 lit. f rozporządzenia 2016/679). Wyjaśnił, że wprowadzony w WINB system EZD nie został wprowadzony dobrowolnie. Do wprowadzenia tego systemu inspektorat został odgórnie zobligowany, a na aktualizacje czy modyfikacje dokonywane przez twórcę systemu inspektorat nie ma wpływu i są one wprowadzane niezależnie od inspektoratu i jego pracowników. Ze swojej strony administrator dopełnił czynności, mających na celu zachowanie bezpieczeństwa danych.

Oddalając skargę Wojewódzki Sąd Administracyjny w Warszawie powołał się na art. 5, 24 i 29 rozporządzenia 2016/679. W kontekście tych regulacji stwierdził, iż administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679).

Zdaniem Sądu w niniejszej sprawie niesporna jest okoliczność, że na skarżącym, jako na administratorze danych, ciąży obowiązek zapewnienia poufności i integralności danych osobowych, które są przez niego przetwarzane. WINB, jako administrator danych osobowych, powinien dołożyć wszelkich starań, by zapewnić odpowiednie bezpieczeństwo przetwarzanych przez niego danych osobowych, w tym również danych osobowych wnioskodawcy, znajdujących się w dokumentach zeskanowanych w EZD oraz danych zawartych w protokole z czynności Rzecznika Dyscyplinarnego WINB. Nie budzi też wątpliwości fakt, że wskutek błędu pracownika inspektoratu, który niezgodnie z obowiązującą procedurą zeskanował dokumenty dotyczące wnioskodawcy do systemu EZD, dane osobowe wnioskodawcy zostały udostępnione w systemie EZD osobie do tego nieuprawnionej (innemu pracownikowi inspektoratu). Nadto w związku z awarią drukarki będącej w dyspozycji Rzecznika Dyscyplinarnego WINB i przekierowaniem wydruku do innej drukarki, usytułowanej w korytarzu na 9. piętrze inspektoratu, z protokołem z czynności przeprowadzonych

z udziałem wnioskodawcy, mogły zapoznać się osoby do tego nieuprawnione.

Poza sporem jest też fakt, iż skarżący podjął odpowiednie działania, mające na celu wyeliminowanie nieprawidłowego udostępnienia danych osobowych wnioskodawcy poprzez zablokowanie nieuprawnionego dostępu do tych danych oraz usunięcie z systemu EZD dokumentów, które zostały w nim umieszczone. Pracownik, który zeskanował dokumenty niezgodnie z procedurą, został ukarany upomnieniem, zaś wobec pracownika, który miał dostęp do tych dokumentów niezgodnie ze swoim upoważnieniem i zaniechał powiadomienia o tym swojego przełożonego, wdrożono postępowanie dyscyplinarne. W związku z tym, że pracownik uzyskał nieuprawniony dostęp do dokumentów, zawierających dane osobowe wnioskodawcy, poprzez otwarcie korespondencji na swoim koncie w innym dziale inspektoratu, wskutek niezadziałania blokady dostępu w systemie EZD, skarżący zgłosił problem twórcy programu, a następnie dokonał korekty systemu, w tym korekty w zakresie dostępu użytkowników i ich uprawnień. W związku z sytuacją dotyczącą nieuprawnionego udostępnienia protokołu, skarżący wyłączył funkcję drukowania na drukarce. Ponadto o fakcie nieuprawnionego udostępnienia danych poinformował wnioskodawcę i Prezesa UODO.

Ustalony w sprawie stan faktyczny, w tym działania, podjęte przez WINB, doprowadziły Sąd pierwszej instancji do wniosku, że dane osobowe wnioskodawcy nie były właściwie zabezpieczone i doszło do ich nieuprawnionego udostępnienia

w systemie EZD osobie do tego nieuprawnionej oraz poprzez pozostawienie

w drukarce protokołu z 24 stycznia 2019 r., z którym mogły zapoznać się osoby nieuprawnione.

Sąd podzielił stanowisko organu, że WINB, jako administrator danych, jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta. Nie ma znaczenia, że system EZD w inspektoracie został narzucony odgórnie, a twórcą jego jest podmiot zewnętrzny. WINB odpowiada za udostępnienie danych osobowych wnioskodawcy z systemu osobie nieupoważnionej. Zasadnie zatem ocenił Prezes UODO, iż miało miejsce naruszenie, aczkolwiek o jednostkowym charakterze

i skorygowane przez administratora. Skarżący niewłaściwie zabezpieczył dane osobowe wnioskodawcy przed ich nieuprawnionym udostępnieniem.

Powyższe ustalenie organu determinowało zastosowanie odpowiedniej sankcji. Zgodnie z art. 58 ust. 2 lit. b rozporządzenia 2016/679, organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci udzielania upomnień administratorowi lub podmiotowi przetwarzającemu w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania. Zdaniem Sądu orzeczona przez organ dla WINB kara upomnienia jest adekwatna zarówno do stwierdzonych przez administratora danych naruszeń, jak i podjętych przez niego czynności naprawczych.

W kontekście powyższych ustaleń Sąd stwierdził, że zaskarżona decyzja Prezesa UODO jest prawidłowa. Zastosowane upomnienie jest adekwatne do stwierdzonego uchybienia. Organ, wydając zaskarżoną decyzję, nie naruszył przepisów prawa materialnego w stopniu mającym wpływ na wynik sprawy ani przepisów postępowania.

W związku z powyższym Sąd pierwszej instancji, na podstawie art. 151 ustawy z 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2022 r., poz. 329 ze zm.; zwanej dalej: "p.p.s.a."), oddalił skargę.

Skargę kasacyjną od powyższego wyroku wywiódł WINB reprezentowany przez radcę prawnego, zaskarżając wyrok w całości. Wniósł o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi. Nadto wniósł o zasądzenie zwrotu kosztów postępowania oraz zrzekł się rozprawy.

Na podstawie art. 174 pkt 1 p.p.s.a. zaskarżonemu wyrokowi zarzucił naruszenie art. 5 ust. 1 lit. f oraz art. 5 ust. 2 w zw. z art. 24 ust. 1 rozporządzenia 2016/679 poprzez ich niewłaściwe zastosowanie polegające na przyjęciu, iż dane osobowe wnioskodawcy nie były właściwie zabezpieczone, w sytuacji gdy skarżący, jako administrator danych osobowych, dołożył wszelkich starań, by zapewnić odpowiednie bezpieczeństwo przetwarzanych przez niego danych osobowych, a zaistniałe incydenty związane były z nieprawidłowościami i awarią niezależną od skarżącego kasacyjnie.

WINB podkreślił, że słusznie stwierdził Sąd pierwszej instancji, iż na skarżącym, jako na administratorze danych, ciąży obowiązek zapewnienia ich poufności

i integralności. Wojewódzki Sąd Administracyjny w Warszawie dokonał prawidłowej wykładni ww. przepisów RODO, wskazując, iż: "WINB jako administrator danych osobowych powinien dołożyć wszelkich starań, by zapewnić odpowiednie bezpieczeństwo przetwarzanych przez niego danych osobowych". W związku z powyższym w Wojewódzkim Inspektoracie Nadzoru Budowlanego w Katowicach dokonano identyfikacji wszystkich obszarów, w których w związku z przetwarzaniem danych osobowych może dojść do naruszenia praw i wolności osób fizycznych. Ze strony WINB są podejmowane wszelkie działania mające na celu przetwarzane danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie. Wniósł o "rozpoznanie sprawy w trybie uproszczonym" (nie zażądał przeprowadzenia rozprawy).

Naczelny Sąd Administracyjny rozważył, co następuje:

Zgodnie z art. 183 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (j.t. Dz. U. z 2022 r. poz. 329 ze zm.), dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod uwagę z urzędu jedynie nieważność postępowania. W przedmiotowej sprawie nie zachodzą przesłanki nieważności postępowania określone w art. 183 § 2 p.p.s.a. Naczelny Sąd Administracyjny kontroluje więc zgodność zaskarżonego orzeczenia z prawem materialnym i procesowym w granicach skargi kasacyjnej.

W niniejszej sprawie pełnomocnik strony skarżącej kasacyjnie – na podstawie art. 176 § 2 p.p.s.a. – zrzekł się rozprawy, a strona przeciwna w ustawowym terminie nie zawnioskowała o jej przeprowadzenie, stąd też rozpoznanie skargi kasacyjnej nastąpiło na posiedzeniu niejawnym, zgodnie z art. 182 § 2 i 3 p.p.s.a.

Skarga kasacyjna nie zasługiwała na uwzględnienie.

Skarga kasacyjna oparta została na podstawie wynikającej z przepisu art. 174 pkt 1 p.p.s.a., w ramach której podniesiono jeden zarzut – naruszenia przepisów art. 5 ust. 1 lit. f i ust. 2 RODO w związku z art. 24 ust. 1 RODO przez ich niewłaściwe zastosowanie polegające na przyjęciu, iż dane wnioskodawcy nie były zabezpieczone, w sytuacji gdy skarżący jako administrator danych osobowych dołożył wszelkich starań, by zapewnić odpowiednie bezpieczeństwo przetwarzanych przez niego danych osobowych, a zaistniałe incydenty związane były z nieprawidłościami i awarią niezależną od skarżącego kasacyjnie. Zarzut ten jest nieuzasadniony.

W pierwszym rzędzie zwrócić należy uwagę, iż Naczelny Sąd Administracyjny rozpoznaje sprawę wyłącznie w granicach skargi kasacyjnej, co oznacza związanie przytoczonymi w skardze kasacyjnymi jej podstawami, określonymi w art. 174 p.p.s.a. Dlatego też przedmiotem oceny Sądu mogą być jedynie te zarzuty kasacyjne, które strona sformułowała i uzasadniła zgodnie z wymogami prawnymi wynikającymi z art. 174 i art. 176 p.p.s.a. Naczelny Sąd Administracyjny nie może domniemywać granic skargi kasacyjnej. Sąd ten jest władny badać naruszenie jedynie tych przepisów (norm), które zostały wyraźnie wskazane przez stronę skarżącą. Nie jest dopuszczalna wykładnia zakresu zaskarżenia i jego kierunków oraz konkretyzowanie, uściślanie, uzupełnianie zarzutów skargi kasacyjnej, czy też poprawianie jej niedokładności (por. wyrok NSA z dnia 13 listopada 2014 r., I OSK 1420/14, wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 12 kwietnia 2018 r., sygn. II OSK 2457/17, z wyrok NSA dnia 8 marca 2018 r., sygn. I OSK 955/16, wyrok NSA z dnia 2 marca 2018 r., sygn. I OSK 2306/17, wyrok NSA z dnia 25 listopada 2014 r., sygn. II GSK 1253/13, wyrok NSA z dnia 27 listopada 2015 r., sygn. I OSK 902/14 – wszystkie dostępne w CBOSA).

Przypomnieć także należy, że podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię wykazać należy, że sąd mylnie zrozumiał stosowany przepis prawa, natomiast uzasadniając zarzut niewłaściwego zastosowania przepisu prawa materialnego wykazać należy, że sąd stosując przepis popełnił błąd subsumcji, czyli że niewłaściwie uznał, iż stan faktyczny przyjęty w sprawie nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa.

Brak jest wątpliwości, iż przepisy art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO, których naruszenie zarzuciła autorka skargi kasacyjnej, mają charakter przepisów prawa materialnego, nakładających oznaczone w ich treści obowiązki na administratora danych osobowych. Przepisy prawa materialnego nie mają jednak jednorodnego charakteru. W nauce przeprowadza się rozmaite ich typologie. Z punktu widzenia rozpatrywanej sprawy i błędu popełnionego w konstruowaniu zarzutu, istotny jest podział norm prawa materialnego na: normy konkretyzowane przez akt administracyjny, normy konkretyzowane przez czynność materialnotechniczną oraz normy stosowane bezpośrednio (szerzej Z. Leoński, Materialne prawo administracyjne, Warszawa 2005, s. 9-13).

Istota pierwszego typu norm polega na tym, iż przepis prawa materialnego ustala przesłanki, na podstawie których organ administracji publicznej w drodze aktu administracyjnego nakłada na indywidualnie oznaczonego adresata określone obowiązki (wyznacza ustawowo przewidziane zachowanie) lub przyznaje określone ustawowo uprawnienie. Konkretyzacja obowiązków lub praw następuje w drodze aktu administracyjnego, zwanego na gruncie k.p.a. decyzją administracyjną, w procesie stosowania prawa. Właśnie do tego procesu - do błędu zwanego niewłaściwym zastosowaniem prawa materialnego – odwołuje się przepis art. 174 pkt 1 p.p.s.a. Niekiedy jednak normy prawa administracyjnego wprost określają, bez potrzeby wydawania decyzji administracyjnej (czyli aktu indywidualno-konkretnego), obowiązki adresata, a rolę organu administracyjnego sprowadzają do kontroli ich przestrzegania i ewentualnej realizacji obowiązku w drodze przymusu, bądź też zastosowania kary administracyjnej, jako następstwa uchybienia obowiązkom bezpośrednio wypływającym z ustawy. Właśnie taki przypadek zachodzi w rozpoznawanej sprawie.

Przepisy art. 5 ust. 1 lit. f i ust. 2 RODO w związku z art. 24 ust. 1 RODO określają wprost obowiązki administratora danych osobowych. Przepis art. 5 ust. 1 lit. f RODO zobowiązuje administratora danych osobowych do przetwarzania danych osobowych w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Przepis art. 5 ust. 2 RODO stanowi, że administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie ("rozliczalność"). Z kolei przepis art. 24 ust. 1 RODO nakłada na administratora obowiązek wdrożenia, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, odpowiednich środków technicznych

i organizacyjnych, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Żaden z przepisów wskazanych w zarzucie skargi kasacyjnej, a to art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO, nie był tym samym stosowany przez organ, a proces ich zastosowania rozumiany jako proces przekształcenia normy generalno-abstrakcyjnej zawartej w ustawie (lub innym przepisie powszechnie obowiązującym) w normę indywidualno-konkretną zawartą w akcie administracyjnym (w decyzji administracyjnej), nie został poddany kontroli Sądu pierwszej instancji. Przedmiotem skargi został bowiem uczyniony akt kończący procedurę kontrolną przestrzegania przez WINB w Katowicach przepisów art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO. Organ w zaskarżonej do sądu administracyjnego decyzji administracyjnej dokonał procedury kontroli przestrzegania przez administratora danych osobowych (tj. WINB) obowiązków adresowanych do niego bezpośrednio przez prawodawcę, a wskazanych w przepisach art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO, a stwierdzając niedopełnienie im, wydał na podstawie art. 58 ust. 2 lit. b RODO akt administracyjny w ramach, jak to określa RODO, uprawnień naprawczych. Jest to w swej istocie środek prawny będący sankcją administracyjną, rozumianą jako negatywna konsekwencja naruszenia obowiązków wprost nałożonych przez ustawę na ich adresata. Decyzja poddana kontroli sądowoadministracyjnej była więc efektem zastosowania przepisu art. 58 ust. 2 lit. b RODO. Udzielenie upomnienia, o którym mowa w tym przepisie, wymaga przeprowadzenie odpowiedniego postępowania kontrolnego, a w jego ramach postępowania wyjaśniającego, w ramach którego ustala się czy doszło do naruszenia przepisów RODO przez operację przetwarzania.

Rekapitulując te część rozważań, stwierdzenie naruszenia przepisów art. 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO, określających wprost obowiązki administratora danych osobowych, jest elementem postępowania wyjaśniającego prowadzonego przez Prezesa UODO w ramach postępowania kontrolnego nakierowanego na wydanie aktu stosowania prawa na podstawie art. 58 ust. 2 lit. b RODO.

Z tej przyczyny zarzut skargi kasacyjnej nie mógł się ostać, bowiem przepisy 5 ust. 1 lit. f i ust. 2 RODO i art. 24 ust. 1 RODO nie mogły zostać naruszone przez ich niewłaściwe zastosowanie, tak jak wskazano w skardze kasacyjnej, gdyż nie były one stosowane przez organ. Organ dokonał bowiem kontroli ich przestrzegania przez administratora danych osobowych. Stwierdzenie ich niedochowania jest przesłanką materialną do zastosowania przepisu art. 58 ust. 2 lit b RODO i orzeczenia wskazanej w nim sankcji administracyjnej. Zarzutu naruszenia tego przepisu nie podniesiono jednak w skardze kasacyjnej, a w związku z tym, że Naczelny Sąd Administracyjny rozpoznaje sprawę wyłącznie w granicach skargi kasacyjnej, co oznacza, że przedmiotem oceny Sądu mogły być jedynie te zarzuty kasacyjne, które strona sformułowała i uzasadniła zgodnie z wymogami prawnymi wynikającymi z art. 174 i art. 176 p.p.s.a. Z tych względów zarzut okazał się bezzasadny.

Naczelny Sąd Administracyjny, działając na podstawie art. 184 p.p.s.a., orzekł o oddaleniu skargi kasacyjnej.