III OSK 2593/22

WyrokNaczelny Sąd Administracyjny2025-12-03

Skład orzekający: Mirosław Wincenciak, Artur Kuś, Tadeusz Kiełkowski

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy bank, który powierzył przesyłkę zawierającą dane osobowe klientów firmie kurierskiej, a następnie ta przesyłka została zagubiona, może być uznany za administratora danych odpowiedzialnego za naruszenie ochrony danych osobowych w rozumieniu RODO?
Ratio decidendi
Naczelny Sąd Administracyjny uznał, że Wojewódzki Sąd Administracyjny błędnie zastąpił organ w zakresie przeprowadzenia postępowania wyjaśniającego i subsumpcji stanu faktycznego pod przepisy prawa. Uzasadnienie decyzji Prezesa UODO nie zawierało rozważań, czy bankowi można zarzucić niestaranność w ochronie danych od momentu powierzenia ich firmie kurierskiej ani jak bank powinien zabezpieczać dane w takich sytuacjach. W związku z tym, NSA uchylił zaskarżony wyrok i decyzję, uznając zarzuty naruszenia prawa procesowego za uzasadnione.
Stan faktyczny
Bank powierzył firmie kurierskiej przesyłkę zawierającą dane osobowe klientów. Przesyłka została zagubiona. Prezes Urzędu Ochrony Danych Osobowych (UODO) udzielił bankowi upomnienia za naruszenie przepisów RODO dotyczących ochrony danych. Wojewódzki Sąd Administracyjny (WSA) oddalił skargę banku na tę decyzję. Bank wniósł skargę kasacyjną, zarzucając m.in. błędne uznanie go za administratora danych odpowiedzialnego za zagubienie przesyłki, podczas gdy odpowiedzialność tę powinien ponosić operator pocztowy.
Rozstrzygnięcie
Uchylił zaskarżony wyrok i zaskarżoną decyzję Prezesa Urzędu Ochrony Danych Osobowych. Zasądził od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Banku [...] S.A. kwotę 777 złotych tytułem zwrotu kosztów postępowania kasacyjnego.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Mirosław Wincenciak (spr.) Sędziowie: sędzia NSA Artur Kuś sędzia del. WSA Tadeusz Kiełkowski Protokolant inspektor sądowy Olga Wrońska po rozpoznaniu w dniu 19 listopada 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Banku [...] S.A. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 3211/21 w sprawie ze skargi Banku [...] S.A. w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 lipca 2021 r. nr ZSPR.440.1261.2019.129477,129478,129481 w przedmiocie przetwarzania danych osobowych 1. uchyla zaskarżony wyrok i zaskarżoną decyzję, 2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz Banku [...] S.A. z siedzibą w [...] kwotę 777 (siedemset siedemdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania kasacyjnego. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 3211/21 oddalił skargę Banku [...] S.A. z siedzibą [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 2 lipca 2021 r. nr ZSPR.440.1261.2019.129477,129478,129481 w przedmiocie przetwarzania danych osobowych. U podstaw rozstrzygnięcia Sądu pierwszej instancji legły następujące ustalenia oraz ocena prawna. Prezes Urzędu Ochrony Danych Osobowych (dalej w skrócie: "organ" lub "Prezes UODO") decyzją z dnia 2 lipca 2021 r. nr ZSPR.440.1261.2019.129477, 129478,129481, na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j.: Dz. U. z 2021 r., poz. 735, dalej w skrócie: "k.p.a."), art. 7 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j.: Dz. U. z 2019 r., poz. 1781, dalej w skrócie: "u.o.d.o.") oraz art. 6 ust. 1 lit. f, art. 5 lit. e i f, art. 24 ust. 1, art. 32 ust. 1 i 2, art. 57 ust. 1 lit. a i f i art. 58 ust. 2 lit. b i g rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35, dalej w skrócie: "RODO"), po przeprowadzeniu postępowania administracyjnego w sprawie skargi M.G. oraz W.G. (dalej w skrócie: "skarżący") na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] S.A. z siedzibą [...] (dalej w skrócie: "Bank"), udzielił upomnienia Bankowi w związku z naruszeniem art. 5 ust. 1 lit. f oraz art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, polegającym na zagubieniu przesyłki zawierającej dane osobowe skarżących. Jak wynika z ustaleń organu, w dniu 1 kwietnia 2019 r. Oddział Banku nadał do Centrali Banku przesyłkę, w której znajdowały się następujące dokumenty: pełnomocnictwo udzielone skarżącemu przez skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na w/w dokumentach znajdowały się w szczególności następujące dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skarżącej oraz imię, nazwisko i PESEL skarżącego. Przesyłka zawierająca w/w dokumenty powinna dotrzeć do Centrali Banku w dniu 2 kwietnia 2019 r. W dniu 3 kwietnia 2019 r. Bank podjął działania w celu wyjaśnienia z firmą kurierską A. z o.o. z siedzibą [...] (dalej w skrócie: "A." lub "firma kurierska") opóźnienia w doręczeniu przedmiotowej przesyłki. Następnie, w dniu 8 kwietnia 2019 r., Bank złożył oficjalną reklamację w związku z brakiem doręczenia w/w przesyłki. W dniu 16 kwietnia 2019 r. firma kurierska poinformowała Bank o zmianie statusu przesyłki na status zagubionej, informując, że pomimo tego nadal podejmuje próby wyjaśnienia sprawy. W dniu 10 maja 2019 r. A. poinformowała Bank, że nie zdołała zlokalizować przesyłki i zakończyła próby jej poszukiwania. Bank w nadesłanych do organu wyjaśnieniach wskazał m.in., iż w związku z występowaniem naruszeń danych osobowych w ramach przesyłania korespondencji papierowej pomiędzy Oddziałami Banku a Centralą Banku podjął następujące działania mające na celu niedopuszczenie do zaistnienia w przyszłości naruszeń o podobnym charakterze: a) Departament wspomagania sieci skierował do pracowników Oddziałów komunikaty przypominające o konieczności oraz sposobach prawidłowego zaklejania kopert (komunikaty zostały wysłane w dniach: 12 marca 2019 r., 4 czerwca 2019 r., 25 lipca 2019 r.); b) Departament wspomagania sieci skierował do pracowników Oddziałów w dniu 8 sierpnia 2019 r. komunikat wprowadzający obowiązek pakowania dokumentów przygotowanych do wysyłki w dwie koperty. Prezes UODO, biorąc pod uwagę dokonane w toku postępowania wyjaśniającego ustalenia stwierdził, że w procesie przetwarzania danych osobowych skarżących przez Bank doszło do uchybienia polegającego na zagubieniu przesyłki zawierającej dane osobowe skarżących. Organ przyjął, że w wyniku działań Banku, danym osobowym skarżących, które zawierała przesyłka, nie została zapewniona odpowiednia ochrona przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową ich utratą. W konsekwencji Bank doprowadził do utraty poufności danych osobowych skarżących. Prezes UODO, z uwagi na podjęte przez Bank działania naprawcze, tj. uzupełnienie procedury obiegu korespondencji oraz uwzględniając wagę i charakter stwierdzonego naruszenia, a zarazem potrzebę egzekwowania przepisów RODO (por. motyw 148), uznał za zasadne skorzystanie w niniejszej sprawie z instrumentu o charakterze naprawczym przewidzianego w art. 58 ust. 2 lit. b RODO i udzielił Bankowi upomnienia w zakresie stwierdzonego naruszenia przepisu art. 5 ust. 1 lit. f oraz art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, polegającego na zagubieniu przesyłki zawierającej dane osobowe skarżących. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie na powyższą decyzję Bank zarzucił organowi mające wpływ na wynik sprawy naruszenie przepisów postępowania, tj. art. 7, art. 77 § 1 i art. 80 k.p.a. oraz naruszenie przepisów prawa materialnego, tj.: art. 58 ust. 2 lit. b w zw. z art. 5 ust. 1 lit. f, art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, poprzez błędne przyjęcie, że przepisy te uprawniają Prezesa UODO do udzielenia upomnienia podmiotowi (Bankowi), który nie jest ani administratorem, ani podmiotem przetwarzającym, u którego doszło do naruszenia ochrony danych (tj. zgubienia przesyłki) i pominięcie, że podmiotem odpowiedzialnym za naruszenie w/w przepisów RODO, który dopuścił się zagubienia przesyłki, jest odrębny administrator danych – operator pocztowy (A.) i to on powinien być adresatem środków naprawczych nakładanych przez Prezesa UODO. W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując stanowisko zawarte w uzasadnieniu zaskarżonej decyzji. Wojewódzki Sąd Administracyjny w Warszawie uznał, że skarga nie zasługuje na uwzględnienie. W motywach powołanego na wstępie wyroku wskazał, że przepis art. 5 RODO formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów, tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Stosownie zaś do treści art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. W świetle art. 32 ust. 2 RODO, administrator, oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Zdaniem WSA w Warszawie, Bank przez brak wypełnienia obowiązku określonego w art. 32 ust. 1 i ust. 2 RODO uchybił obowiązkom administratora, tj. zapewnienia i wykazania zgodności przetwarzania z wymogami (art. 24 ust. 1 RODO), co w konsekwencji skutkowało też naruszeniem zasady poufności (art. 5 ust. 1 lit. f RODO). Wbrew twierdzeniom skargi, to Bank jest administratorem danych osobowych, wobec których nastąpiło naruszenie ich ochrony, polegające na zagubieniu dokumentacji zawierającej dane osobowe klientów Banku. W związku z tym, że są to dokumenty bankowe, nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do treści art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych w/w naruszeniem, a także sposoby ich przetwarzania. Sąd pierwszej instancji zwrócił uwagę, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Skargę kasacyjną od powyższego wyroku do Naczelnego Sądu Administracyjnego wywiódł Bank [...] S.A. z siedzibą [...]. Zaskarżając wyrok w całości, na podstawie art. 174 pkt 1 i 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (t.j.: Dz. U. z 2022 r., poz. 329 ze zm., dalej w skrócie: "p.p.s.a.") zarzucił: 1) naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj.: a) art. 151 p.p.s.a. w zw. art. 7, art. 77 § 1 i art. 80 k.p.a., poprzez oddalenie skargi w sytuacji, gdy organ nie poczynił wyczerpujących ustaleń faktycznych w zakresie ustalenia administratora danych osobowych oraz podmiotów biorących udział procesie przetwarzania danych osobowych uczestników postępowania, a jednocześnie nieprawidłowo ustalił, że Bankowi można przypisać odpowiedzialność w związku z zagubieniem przesyłki, w której znajdowały się dane osobowe uczestników postępowania w niniejszej sprawie; b) art. 133 § 1 w zw. z art. 134 § 1 w zw. z art. 132 oraz art. 145 § 1 pkt 1 lit. c p.p.s.a., poprzez dokonanie przez Sąd pierwszej instancji samodzielnych ustaleń faktycznych w zakresie roli Banku jako administratora danych osobowych uczestników postępowania, podczas gdy organ nie ustalił tej okoliczności w wydanej decyzji, co miało wpływ na wynik sprawy, ponieważ w przypadku uznania przez Sąd, że organ nie poczynił istotnych ustaleń stanu faktycznego, WSA w Warszawie powinien uchylić wyrok i przekazać sprawę do ponownego rozpoznania przez organ w celu ponownego ustalenia stanu faktycznego sprawy i wydania rozstrzygnięcia, czego w niniejszej sprawie Sąd pierwszej instancji nie uczynił, wykraczając jednocześnie poza zakres sprawy, poprzez dokonanie samodzielnych ustaleń faktycznych; c) art. 141 § 4 w zw. z art. 173 § 1 p.p.s.a., poprzez nieodniesienie się przez Sąd pierwszej instancji do wszystkich zarzutów podniesionych przez Bank w postępowaniu przed tym Sądem oraz lakoniczne i fragmentaryczne uzasadnienie wyroku w niniejszej sprawie, odnoszące się wyłącznie do elementów sprawy, nie zaś do jej całości, co uniemożliwia kontrolę instancyjną wyroku w zakresie, w jakim WSA w Warszawie nie odniósł się do okoliczności podnoszonych przez Bank oraz do zarzutów Banku; 2) naruszenie przepisów prawa materialnego tj.: a) art. 4 pkt 7 RODO w zw. z art. 2 ust. 1 pkt 1, art. 3 pkt 12, art. 7 pkt 1 i 2, art. 41 ust. 1-2 pkt 1 i ust. 5-6 oraz art. 42 ustawy z dnia 23 listopada 2012 r. Prawo pocztowe (t.j.: Dz. U. 2022 r., poz. 896 ze zm., dalej w skrócie: "u.p.p."), poprzez ich niewłaściwe zastosowanie, polegające na ich niezastosowaniu i pominięciu roli operatora pocztowego w procesie przetwarzania danych osobowych, jako podmiotu wyłącznie odpowiedzialnego za zdarzenia związane z realizacją usługi pocztowej, podczas gdy prawidłowe zastosowanie tych przepisów skutkowałoby uznaniem operatora pocztowego za administratora danych osobowych, nie zaś, że administratorem danych osobowych jest Bank; b) art. 5 ust. 1 lit. f w zw. z art. 24 ust. 1 w zw. art. 32 ust. 1 i 2 oraz art. 58 ust. 2 lit. b RODO, poprzez ich niewłaściwe zastosowanie, polegające na przypisaniu Bankowi odpowiedzialności za zabezpieczenie danych osobowych uczestników postępowania, jako administratorowi danych, podczas gdy podmiotem odpowiedzialnym za bezpieczeństwo danych osobowych w ramach realizacji usługi pocztowej jest operator pocztowy, jako administrator tych danych. Wskazując na powyższe zarzuty, skarżący kasacyjnie wniósł o uchylenie zaskarżonego wyroku w całości i rozstrzygnięcie sprawy co do istoty na podstawie art. 188 p.p.s.a., poprzez uchylenie kwestionowanej decyzji i przekazanie jej organowi do ponownego rozpoznania, ewentualnie o uchylenie zaskarżonego wyroku w całości i przekazanie sprawy Sądowi pierwszej instancji do ponownego rozpoznania na podstawie art. 185 § 1 p.p.s.a. W uzasadnieniu skargi kasacyjnej przedstawił argumentację mającą wykazać zasadność podniesionych w niej zarzutów. W odpowiedzi na skargę kasacyjną Prezes UODO wniósł o jej oddalenie oraz oświadczył, że zrzeka się prawa do rozpoznania sprawy na rozprawie. Naczelny Sąd Administracyjny zważył, co następuje: W świetle art. 174 p.p.s.a. skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy. Naczelny Sąd Administracyjny jest związany podstawami skargi kasacyjnej, ponieważ w świetle art. 183 § 1 p.p.s.a. rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc z urzędu pod rozwagę jedynie nieważność postępowania. Jeżeli zatem nie wystąpiły przesłanki nieważności postępowania wymienione w art. 183 § 2 p.p.s.a., a w rozpoznawanej sprawie przesłanek tych brak, to Sąd związany jest granicami skargi kasacyjnej. Oznacza to, że Sąd nie jest uprawniony do samodzielnego dokonywania konkretyzacji zarzutów skargi kasacyjnej, a upoważniony jest do oceny zaskarżonego orzeczenia wyłącznie w granicach przedstawionych we wniesionej skardze kasacyjnej. Skarga kasacyjna zawiera usprawiedliwione podstawy. Na uwzględnienie zasługiwały zarzuty 1a i 1b naruszenia prawa procesowego, bowiem uzasadnienie prawne kwestionowanej decyzji sprowadza się do przytoczenia przepisów RODO bez powiązania ich z okolicznościami rozpoznawanej sprawy. Przypomnieć należy, że dokonywana przez sąd administracyjny weryfikacja ustaleń organu administracji w zakresie faktów jest weryfikacją następczą, a kontrola legalności organu opiera się, co do zasady, na ocenie aktu administracyjnego wraz z jego uzasadnieniem oraz na materiale dowodowym zgromadzonym w postępowaniu przed organem administracji wydającym zaskarżoną decyzję (art. 133 § 1 p.p.s.a.). Orzekanie na podstawie akt sprawy oznacza, że sąd administracyjny bierze pod uwagę okoliczności, które z akt administracyjnych wynikają. Oznacza to zakaz wyjścia poza materiał dowodowy, który zgromadzono w toku postępowania administracyjnego. Zapadający wyrok sądu administracyjnego nie następuje po rozpatrzeniu sprawy w rozumieniu przyjętym w sądownictwie powszechnym. Rozpoznanie sprawy przez sąd administracyjny jest oceną legalności działania organu administracji publicznej. Stwierdzić należy, że w rozpoznawanej sprawie to Sąd pierwszej instancji w istocie próbował zastąpić organ w zakresie przeprowadzenia postępowania wyjaśniającego i subsumpcji stanu faktycznego pod obowiązujące przepisy prawa, analizując zagadnienie zarządzania ryzykiem oraz kwestię obowiązku wykazania organowi, że rozwiązania prawne w zakresie zarządzania ryzykiem są adekwatne – które to kwestie zostały pominięte przez organ administracji publicznej. Uzasadnienie zaskarżonej decyzji nie zawiera rozważań, czy Bankowi można zarzucić niestaranność działania w zakresie ochrony danych osobowych M.G. oraz W.G. od momentu powierzenia przesyłki zawierającej te dane firmie kurierskiej, jak również nie zawiera rozważań, jak Bank powinien zabezpieczać dane osobowe w przypadku powierzenia przesyłki zawierającej takie dane podmiotowi zajmującemu się profesjonalnie świadczeniem usług kurierskich i pocztowych. Z tych też względów powołane zarzuty naruszenia prawa procesowego należało uznać za uzasadnione. Chybiony okazał się natomiast zarzut 1c naruszenia prawa procesowego, tj. zarzut naruszenia art. 141 § 4 p.p.s.a. Przepis ten określa elementy uzasadnienia wyroku. Stanowi, że powinno ono zawierać zwięzłe przedstawienie stanu sprawy, zarzutów podniesionych w skardze, stanowisk pozostałych stron, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Analiza uzasadnienia zaskarżonego wyroku pozwala na przyjęcie, że objęło ono wszystkie niezbędne wymogi, o których mowa w powołanym przepisie, a przedstawiony w nim wywód prawny w toku kontroli instancyjnej pozwala na ocenę, jakie znaczenie WSA w Warszawie nadał zastosowanym normom prawnym i co stanowiło podstawę prawną rozstrzygnięcia zawartego w sentencji. W judykaturze przyjmuje się, że orzeczenie sądu pierwszej instancji uchyla się spod kontroli instancyjnej w przypadku braku wymaganych prawem części (np. nieprzedstawienia stanu sprawy, czy też niewskazania lub niewyjaśnienia podstawy prawnej rozstrzygnięcia), a także wówczas, gdy będą one co prawda obecne, niemniej jednak obejmować będą treści podane w sposób niejasny, czy też nielogiczny, uniemożliwiający jednoznaczne ustalenie stanu faktycznego i prawnego, stanowiącego podstawę kontrolowanego wyroku sądu (por. wyroki Naczelnego Sądu Administracyjnego z dnia: 15 czerwca 2010 r., sygn. II OSK 986/09; 12 marca 2015 r., sygn. I OSK 2338/13; publ. CBOSA). Przy czym tylko wówczas, gdy konstrukcja uzasadnienia nie pozwala na odtworzenie toku myślowego sądu pierwszej instancji, można mówić o skutkującym ewentualnym wzruszeniem orzeczenia uchybieniu art. 141 § 4 p.p.s.a. w sposób mogący mieć istotny wpływ na wynik sprawy (por. m.in. wyrok Naczelnego Sądu Administracyjnego z dnia 22 marca 2013 r., sygn. akt II OSK 2259/11, LEX nr 1299453). W tej sprawie takich okoliczności nie dostrzeżono, zatem wyrok nie podlegał uchyleniu z powodu naruszenia art. 141 § 4 p.p.s.a. Uznając, że w sprawie do doszło do naruszenia przepisów postępowania, które mogło mieć wpływ na wynik sprawy, Naczelny Sąd Administracyjny uznał za przedwczesne odnoszenie się do zarzutów kasacyjnych naruszenia prawa materialnego. Ponownie rozpoznając sprawę, Prezes UODO uwzględni uwagi zawarte w niniejszym wyroku. Z tych względów Naczelny Sąd Administracyjny, na podstawie art. 188 w zw. z art. 145 § 1 pkt 1 lit. c p.p.s.a., orzekł, jak w sentencji wyroku. O kosztach postępowania kasacyjnego orzeczono w pkt 2 sentencji wyroku na podstawie art. 203 pkt 1, art. 209 oraz art. 205 § 2 p.p.s.a. w związku z § 14 ust. 1 pkt 2 lit. a rozporządzenia Ministra Sprawiedliwości z dnia 22 października 2015 r. w sprawie opłat za czynności adwokackie (t.j.: Dz. U. z 2023 r., poz. 1964 ze zm.).

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło