NSA oddalił skargę kasacyjną Sądu Rejonowego w Szczecinie

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Sądu Rejonowego Szczecin-Centrum w Szczecinie na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, którym decyzja Prezesa Urzędu Ochrony Danych Osobowych została utrzymana w mocy. Prezes UODO na mocy tej decyzji stwierdził naruszenie przepisów RODO i nałożył karę pieniężną w wysokości 30 tys. zł

Decyzja Prezesa UODO

Do Prezesa UODO wpłynęło zgłoszenie naruszenia ochrony danych osobowych, które polegało na zagubieniu przez sędziego trzech nośników danych typu pendrive (jednego służbowego szyfrowanego oraz dwóch nieszyfrowanych - prywatnych), zawierających dane osobowe nieustalonej liczby osób. W ten sposób doszło do naruszenia poufności danych.

Badając sprawę organ nadzorczy stwierdził naruszenie szeregu przepisów RODO, w tym obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku przetwarzania danych i ściśle z nim skorelowany obowiązek zapewnienia poufności przetwarzanych danych osobowych.

Postępowanie przed WSA 

Ukarany podmiot wniósł na decyzję prezesa UODO skargę do sądu administracyjnego. Skarżący kwestionował wysokość kary sugerując, że stopień naruszenia oraz okoliczności sprawy uzasadniają poprzestanie jedynie na udzieleniu upomnienia przez prezesa UODO.

WSA podtrzymał decyzję Prezesa UODO stwierdzając, że kara pieniężna nałożona przez organ nadzorczy spełnia funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca, za czym przemawia m.in. naruszenie więcej niż jednego przepisu RODO, poważny charakter naruszenia, zakres danych osobowych podlegających naruszeniu oraz krąg osób nim dotkniętych (nieustalona liczba osób, wobec których sporządzane były projekty orzeczeń, uzasadnień i zarządzeń od grudnia 2004 r. do sierpnia 2020 r).

NSA podtrzymuje stanowisko WSA i Prezesa UODO

Naczelny Sąd Administracyjny w wyroku z 26 czerwca 2025 r. podtrzymał stanowisko wyrażone w wyroku WSA i stwierdził, że skarga kasacyjna jest niezasadna i jako taka podlega oddaleniu.

Jak uzasadnił NSA, stosownie do treści art. 58 ust. 2 lit. i) RODO organ nadzorczy, oprócz środków naprawczych może nałożyć karę pieniężną, o której mowa w art. 83 RODO, zależnie od okoliczności konkretnej sprawy. NSA przytoczył również treść motywu 148 RODO, zgodnie z którym nałożenie administracyjnej kary pieniężnej ma na celu podniesienie skuteczności egzekwowania przepisów RODO. Odstąpienie od jej nałożenia i poprzestanie na upomnieniu powinno się ograniczać wyłącznie do takich przypadków, w których naruszenie jest niewielkie lub grożąca osobie fizycznej kara pieniężna stanowiłaby dla niej nieproporcjonalne obciążenie.

NSA przychylił się do stanowiska prezesa UODO oraz podtrzymującego go wyroku WSA, w którym organ nadzorczy wyraźnie podkreślił, jakie okoliczności wziął pod uwagę nakładając karę we wskazanej wysokości. Sąd podkreślił też, że doszło do naruszenia zasady poufności, a w konsekwencji zasady rozliczności. W dalszym ciągu istnieje wysokie ryzyko niezgodnego z prawem posłużenia się danymi osobowymi, gdyż nieznany jest cel, dla którego osoba bądź osoby nieuprawnione mogą podjąć działania zmierzające do wykorzystania tych danych. NSA zauważył także, że ryzyko ujawnienia danych nadal istnieje, bowiem zagubione nośniki danych nadal nie zostały odnalezione. Nie bez znaczenia dla oceny przedmiotowej sprawy miało również to, że nie został ustalony zakres osób, których mogło dotyczyć naruszenie, brak zapewnienia odpowiedniego zabezpieczenia (pomimo świadomości zagrożeń z tym związanych – administrator na długo przed powstaniem naruszenia ochrony danych osobowych dysponował oprogramowaniem, które wyłączało możliwość korzystania z nieautoryzowanych nośników danych na służbowych komputerach), długi czas trwania naruszenia, a także kategorie naruszonych danych osobowych, które potencjalnie mogły ujawniać dane o stanie zdrowia, a więc dane szczególne chronione na gruncie RODO.

NSA stwierdził zatem, że decyzja prezesa UODO nie miała charakteru „dowolnego” – organ nadzorczy dokładnie przedstawił okoliczności sprawy, wyjaśnił powody naruszenia poszczególnych przepisów RODO, i wyraźnie wyjaśnił jakie okoliczności wziął pod uwagę przy ustalaniu wysokości kary pieniężnej.

DKN.5131.12.2020 

Wyrok NSA sygn. akt. III OSK 1312/24