II SA/Wa 3211/21

WyrokWSA w Warszawie2022-07-01

Skład orzekający: Joanna Kruszewska-Grońska, Joanna Kube, Waldemar Śledzik

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy bank, jako administrator danych osobowych, ponosi odpowiedzialność za zagubienie przesyłki zawierającej dane osobowe klientów przez zewnętrznego operatora pocztowego, a w konsekwencji, czy Prezes Urzędu Ochrony Danych Osobowych może nałożyć na bank upomnienie z tytułu naruszenia przepisów RODO?
Ratio decidendi
Bank, jako administrator danych osobowych, ponosi odpowiedzialność za naruszenie przepisów RODO, w tym za zagubienie przesyłki zawierającej dane osobowe klientów przez zewnętrznego operatora pocztowego, jeśli nie wykazał należytej staranności w doborze i ocenie skuteczności środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych. Prezes UODO ma podstawy do nałożenia upomnienia na bank w takiej sytuacji, ponieważ to bank określił cele i sposoby przetwarzania danych, a obowiązek ochrony interesów osób, których dane dotyczą, w przypadku nieprawidłowości w dostarczaniu przesyłki, ciąży na nadawcy przesyłki.
Stan faktyczny
Bank nadał przesyłkę zawierającą dane osobowe klientów do swojej centrali za pośrednictwem firmy kurierskiej. Przesyłka została zagubiona przez firmę kurierską. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na bank upomnienie za naruszenie przepisów RODO, uznając, że bank nie zapewnił odpowiedniej ochrony danych. Bank zaskarżył decyzję Prezesa UODO, twierdząc, że odpowiedzialność za zagubienie przesyłki ponosi operator pocztowy, a nie bank.
Rozstrzygnięcie
Oddalono skargę Banku.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Joanna Kruszewska-Grońska, Sędzia WSA Joanna Kube (spr.), Sędzia WSA Waldemar Śledzik, Protokolant referent stażysta Beata Kowalska, po rozpoznaniu na rozprawie w dniu 21 czerwca 2022 r. sprawy ze skargi Banku [...] z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] lipca 2021 r. nr [...] w przedmiocie przetwarzania danych osobowych oddala skargę Prezes Urzędu Ochrony Danych Osobowych (dalej: "organ", "Prezes UODO") decyzją z dnia [...] lipca 2021 r. nr [...] ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735), dalej: "k.p.a.", art. 7 ustawy z dnia 10 maja 2018 r. ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), art. 6 ust. 1 lit. f), art. 5 lit. e) i f), art. 24 ust. 1 i art. 32 ust. 1 i 2, art. 57 ust. 1 lit. a) oraz f) i art. 58 ust. 2 lit. b) i g) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi M. G. oraz W. G., dalej: "skarżący", na nieprawidłowości w procesie przetwarzania ich danych osobowych przez Bank [...] S.A. z siedzibą w [...], dalej: "Bank", udzielił upomnienia Bankowi w związku z naruszeniem art. 5 ust. 1 lit. f) oraz art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO polegającym na zagubieniu przesyłki zawierającej dane osobowe skarżących. Jak wynika z ustaleń organu, w dniu [...] kwietnia 2019 r. Oddział Banku nadał do Centrali Banku przesyłkę, w której znajdowały się następujące dokumenty: pełnomocnictwo udzielone skarżącemu przez skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na ww. dokumentach znajdowały się w szczególności następujące dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skarżącej oraz imię, nazwisko i PESEL skarżącego. Przesyłka zawierająca ww. dokumenty powinna dotrzeć do Centrali Banku w dniu [...] kwietnia 2019 r. W dniu [...] kwietnia 2019 r. Bank podjął działania w celu wyjaśnienia z firmą kurierską [...] Sp. z o.o. z siedzibą w [...], dalej: "[...]", opóźnienia w doręczeniu ww. przesyłki. Następnie, w dniu [...] kwietnia 2019 r. Bank złożył oficjalną reklamację w związku z brakiem doręczenia ww. przesyłki. W dniu [...] kwietnia 2019 r. firma kurierska poinformowała Bank o zmianie statusu ww. przesyłki na status zagubionej informując, że pomimo tego nadal podejmuje próby wyjaśnienia sprawy. W dniu [...] maja 2019 r. firma kurierska poinformowała Bank, że nie zdołała zlokalizować przesyłki i zakończyła próby jej poszukiwania. Bank w nadesłanych do Prezesa wyjaśnieniach wskazał m.in., iż w związku z występowaniem naruszeń danych osobowych w ramach przesyłania korespondencji papierowej pomiędzy Oddziałami Banku a Centralą Banku, podjął następujące działania mające na celu niedopuszczenie do zaistnienia w przyszłości naruszeń o podobnym charakterze: a) Departament wspomagania sieci skierował do pracowników Oddziałów komunikaty przypominające o konieczności oraz sposobach prawidłowego zaklejania kopert (komunikaty zostały wysłane w dniach: [...] marca 2019 r., [...] czerwca 2019 r., [...] lipca 2019 r.); b) Departament wspomagania sieci skierował do pracowników Oddziałów w dniu [...] sierpnia 2019 r. komunikat wprowadzający obowiązek pakowania dokumentów przygotowanych do wysyłki w dwie koperty. Prezes UODO, biorąc pod uwagę dokonane w toku postępowania wyjaśniającego ustalenia stwierdził, że w procesie przetwarzania danych osobowych skarżących przez Bank doszło do uchybienia polegającego na zagubieniu przesyłki zawierającej dane osobowe skarżących. Organ przyjął, że w wyniku działań Banku, danym osobowym skarżących, które zawierała przesyłka, nie została zapewniona odpowiednia ochrona przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową ich utratą. W konsekwencji Bank doprowadził do utraty poufności danych osobowych skarżących. Na skutek zaistniałej sytuacji Bank naraził skarżących na stres i uciążliwość. Skarżący utracili bowiem kontrolę nad swoimi danymi osobowymi i mieli prawo obawiać się skutków tzw. "utraty tożsamości" ze wszystkimi negatywnymi skutkami tego zdarzenia. Prezes UODO, z uwagi na podjęte przez Bank działania naprawcze, tj. uzupełnienie procedury obiegu korespondencji oraz uwzględniając wagę i charakter stwierdzonego naruszenia, a zarazem potrzebę egzekwowania przepisów RODO (por. motyw 148), uznał za zasadne skorzystanie w niniejszej sprawie z instrumentu o charakterze naprawczym przewidzianego w art. 58 ust. 2 lit. b) RODO i udzielił Bankowi upomnienia w zakresie stwierdzonego naruszenia przepisu art. 5 ust. 1 lit. f) oraz art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, polegającego na zagubieniu przesyłki zawierającej dane osobowe skarżących. Bank pismem z dnia 5 sierpnia 2021 r. skierował skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie na decyzję Prezesa UODO z dnia [...] lipca 2021 r. nr [...], wnosząc o jej uchylenie w całości i zasądzenie zwrotu kosztów postępowania, w tym kosztów zastępstwa procesowego, według norm przepisanych. Wnoszący skargę zarzucił organowi: 1. naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj.: art. 58 ust. 2 lit. b) w zw. z art. 5 ust. 1 lit. f), art. 24 ust. 1 i art. 32 ust. 1 i 2 RODO, poprzez błędne przyjęcie, że przepis ten uprawnia Prezesa UODO do udzielenia upomnienia podmiotowi (Bankowi), który nie jest ani administratorem, ani podmiotem przetwarzającym, u którego doszło do naruszenia ochrony danych (tj. zgubienia przesyłki) i pominięcie, że podmiotem odpowiedzialnym za naruszenie ww. przepisów RODO, który dopuścił się zagubienia przesyłki jest odrębny administrator danych - operator pocztowy ([...] sp. z o.o. z siedzibą w [...]; dalej "[...]") i to on powinien być adresatem środków naprawczych nakładanych przez Prezesa Prezes Urzędu Ochrony Danych Osobowych; 2. naruszenie przepisów postępowania, które miało istotny wpływ na wynik sprawy, tj. art. 7, art. 77 § 1 i art. 80 k.p.a., poprzez niezbadanie rzeczywistych przyczyn zgubienia przesyłki przez administratora (operatora pocztowego) i powierzchowną analizę materiału dowodowego zgromadzonego w sprawie, co doprowadziło do wniosku, że to Bank ponosi odpowiedzialność za zgubienie przesyłki, jak również błędne przyjęcie, że procedury obiegu korespondencji przyjęte w Banku mają jakikolwiek wpływ na naruszenia ochrony danych (w szczególności w postaci zgubienia przesyłek), do których może dochodzić w infrastrukturze odrębnego administratora, jakim jest operator pocztowy. Zdaniem wnoszącego skargę, organ nie miał podstaw do udzielenia upomnienia Bankowi, który nie jest ani administratorem, ani podmiotem przetwarzającym, u którego doszło do naruszenia ochrony danych (tj. zgubienia przesyłki). Organ pominął, że podmiotem odpowiedzialnym za naruszenie wskazanych w decyzji przepisów RODO, który dopuścił się uchybienia przesyłki jest odrębny administrator danych - operator pocztowy ([...]) - i to on powinien być adresatem środków naprawczych nakładanych przez Prezesa UODO. Organ nie zbadał rzeczywistych przyczyn zgubienia przesyłki przez administratora (operatora pocztowego) i dokonał powierzchownej analizy materiału dowodowego zgromadzonego w sprawie, co doprowadziło do wniosku, że to Bank ponosi odpowiedzialność za zgubienie przesyłki, jak również błędnego przyjęcia, że procedury obiegu korespondencji przyjęte w Banku mają jakikolwiek wpływ na naruszenia ochrony danych (w szczególności w postaci zgubienia przesyłek). Bank jest administratorem danych zawartych w przesyłkach do momentu przekazania ich profesjonalnemu podmiotowi wykonującemu działalność regulowaną - operatorowi pocztowemu. Bank przestaje mieć jakikolwiek wpływ na przetwarzanie danych zawartych w przesyłce i sposób obchodzenia się z przesyłką wraz z chwilą przekazania jej do operatora pocztowego. Od tego momentu to operator pocztowy staje się odpowiedzialny, jako odrębny administrator danych, za przetwarzanie danych osobowych zawartych w przesyłce, w tym za zapewnienie bezpieczeństwa przesyłce i ochronę przed jej utratą. Reasumując Bank stwierdził, że w związku z tym, iż do zgubienia przesyłki doszło po jej przekazaniu przez Bank do operatora pocztowego ([...]), tj. w ramach infrastruktury odrębnego od Banku administratora danych, udzielenie przez Prezesa UODO upomnienia Bankowi w niniejszej sprawie jest niesprawiedliwe, nieadekwatne i niezasadne z trzech względów. Po pierwsze - Bank nie jest administratorem danych, w którego infrastrukturze doszło do zagubienia przesyłki i naruszenia ww. przepisów RODO (administratorem w tym zakresie jest operator pocztowy - [...]), po drugie - Bank, swoim zachowaniem (działaniem lub zaniechaniem) nie doprowadził do naruszenia, a po trzecie - jakiekolwiek działania podejmowane przez Bank (w szczególności w postaci zmiany wewnętrznych procedur) nie są w stanie zapobiec występowaniu podobnych naruszeń w przyszłości u odrębnego administratora ([...]). Niezależnie od tego podniesiono, że Bank podjął niezwłocznie środki mające na celu ustalenie statusu i lokalizacji przesyłki, gdy ta nie doszła na czas do Centrali Banku i wszczął postępowanie reklamacyjne. Wnoszący skargę zwrócił uwagę że stanowisko organu uległo zmianie (przykład zagubienia akt sądowych). W tej sprawie (decyzja Prezesa UDOO z dnia [...] sierpnia 2019 r. nr [...]) doszło do zgubienia przez operatora pocztowego ([...] S.A.) przesyłki z aktami sprawy sądowej zawierającej dane osobowe (w tym dokumentację medyczną) skarżącej, która została wysłana przez Sąd - za pośrednictwem ww. operatora pocztowego - do biegłego. Prezes UODO rozstrzygając sprawę uznał, że nie może skorzystać z przysługujących mu uprawnień naprawczych wobec nadawcy utraconej przez operatora pocztowego przesyłki, ponieważ nie był podmiotem dostarczającym przesyłkę zawierającą dane osobowe skarżącej. Prezes UODO stwierdził, że nie jest możliwe przypisanie odpowiedzialności za powyższe naruszenie Prezesowi Sądu, ponieważ to nie on był podmiotem dostarczającym przesyłkę zawierającą dane osobowe skarżącej, a wykonanie tej usługi zlecił operatorowi pocztowemu. W odpowiedzi na skargę Prezes UODO wniósł o jej oddalenie, podtrzymując stanowisko zajęte w zaskarżonej decyzji. Odnosząc się do zarzutów skargi podniósł, że w przedmiotowej sprawie Bank w sposób niewystarczający dokonał oceny skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w dokumentach dostarczanych klientom Banku za pośrednictwem podmiotu świadczącego usługi kurierskie, co stanowi naruszenie art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. Zasadą wynikającą z art. 28 ust. 1 RODO, uzupełnioną treścią motywu 81, winno być korzystanie przez administratora wyłącznie z usług takiego podmiotu przetwarzającego, który daje odpowiednie gwarancje spełnienia wymogów wynikających z RODO. Wybór dokonywany przez administratora powinien być więc uważny, a współpraca z podmiotami niedającymi odpowiednich gwarancji wykluczona. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru spoczywa oczywiście na administratorze, a sama decyzja powinna być podejmowana z uwzględnieniem wiedzy fachowej, wiarygodności i zasobów, umożliwiających wdrożenie środków technicznych i organizacyjnych odpowiadających wymogom RODO, także w obszarze bezpieczeństwa (motyw 81). Dodatkowo wskazał na art. 82 RODO, który określa zasady odpowiedzialności odszkodowawczej administratorów i podmiotów przetwarzających wobec osoby, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów rozporządzenia. Podkreślił, że RODO stoi na stanowisku, że odpowiedzialność odszkodowawczą, związaną z naruszeniem przepisów, ponosi co do zasady administrator danych osobowych w pełnym zakresie. Natomiast odpowiedzialność podmiotu przetwarzającego została ograniczona - jest proporcjonalna do zakresu uprawnień i obowiązków nałożonych przez administratora. Pismem procesowym z dnia 1 czerwca 2022 r., w uzupełnieniu skargi pełnomocnik strony skarżącej przedstawił dodatkowe wyjaśnienia, opierając się na wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2021 r. sygn. akt II SA/Wa 2465/21. Jego zdaniem wskazane rozstrzygnięcie zapadło w analogicznej sprawie i przedstawiona argumentacja potwierdza wnioski zawarte w skardze, tj. błędne przypisanie przez Prezesa UODO w decyzji z dnia [...] lipca 2021 r. odpowiedzialności za naruszenie przepisów RODO Bankowi, w przypadku, gdy odpowiedzialnym za naruszenie przepisów RODO w zakresie zgubienia przesyłki z danymi osobowymi uczestników postępowania jest operator pocztowy. To nie Bank nie zapewnił odpowiedniego poziomu ochrony danych osobowych, przetwarzanych w ramach świadczenia usług pocztowych, a operator pocztowy świadczący usługi pocztowe jako odrębny administrator. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Skarga nie zasługuje na uwzględnienie, ponieważ Sąd przeprowadzając kontrolę pod względem zgodności z prawem zaskarżonej decyzji z dnia [...] lipca 2021 r., nie stwierdził, aby Prezes UODO, przy jej wydaniu naruszył przepisy prawa materialnego w stopniu mającym wpływ na wynik sprawy, czy też przepisy postępowania administracyjnego w stopniu mogącym mieć istotny wpływ na wynik sprawy. Przepis art. 5 RODO formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych. Zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Stosownie zaś do treści art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. W myśl art. 32 ust. 2 RODO, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Przepis art. 32 RODO stanowi konkretyzację, wskazanej w art. 5 ust. 1 lit. f) RODO, zasady integralności i poufności, zgodnie z którą dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zdaniem Sądu, Bank przez brak wypełnienia obowiązku z art. 32 ust. 1 i ust. 2 RODO uchybił obowiązkom administratora, tj. zapewnienia i wykazania zgodności przetwarzania z wymogami (art. 24 ust. 1 RODO), co w konsekwencji skutkowało też naruszeniem zasady poufności (art. 5 ust. 1 lit. f RODO). Według art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Zdaniem Sądu, w kontekście ww. przepisów organ miał podstawy do udzielenia upomnienia Bankowi w sprawie prowadzonej ze skargi na nieprawidłowości w procesie przetwarzania danych osobowych skarżących w związku z zagubieniem przesyłki zawierającej ich dane osobowe. Decyzja Prezesa UODO z dnia [...] lipca 2021 r. wskazuje, za co organ nadzoru udzielił upomnienia Bankowi i podaje przyczyny jej nałożenia. Prezes UODO miał podstawy przyjąć, że Bank, jako administrator danych, w sposób niewystarczający dokonał weryfikacji zarówno doboru jak i oceny skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w dokumentach przesyłanych za pośrednictwem podmiotów świadczących usługi kurierskie, co skutkowało naruszeniem m.in. art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO w związku z art. 5 ust 1 lit. f) RODO. Wbrew twierdzeniom wnoszącego skargę, to Bank jest administratorem danych osobowych, wobec których nastąpiło naruszenie ochrony danych osobowych polegające na zagubieniu dokumentacji zawierającej dane osobowe klientów Banku. W zagubionej przesyłce znajdowały się następujące dokumenty: pełnomocnictwo udzielone skarżącemu przez skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty [...], ankieta inwestycyjna, wynik ankiety inwestycyjnej. W związku z tym, że są to dokumenty bankowe, nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych ww. naruszeniem, a także sposoby ich przetwarzania. W przypadku nieprawidłowości w dostarczaniu przesyłki obowiązek ochrony interesów podmiotu danych z punktu widzenia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą ciąży na nadawcy przesyłki, który znając zawartość utraconej korespondencji, jest w stanie ocenić zagrożenia wynikające dla osoby, której dane dotyczą. Natomiast operator pocztowy oraz firma kurierska obowiązki administratora w rozumieniu przepisów RODO może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek. Bank, mając na uwadze, że w ciągu roku z pomocą zewnętrznych dostawców obsługuje, jak podał ponad 12 milionów przesyłek, zawierających dane osobowe klientów, a także mając na względzie zakres i kontekst ich przetwarzania, winien skuteczniej na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności, osób, których dane dotyczą. To na Banku jako administratorze danych spoczywa obowiązek weryfikacji doboru oraz oceny skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych znajdujących się w dokumentach przesyłanych za pośrednictwem podmiotów świadczących usługi kurierskie. W konsekwencji organ nadzoru prawidłowo przyjął, że Bank, pomimo zawartej umowy z podmiotem świadczącym usługi kurierskie, nie sprawował w pełni należytego nadzoru w tym obszarze, co doprowadziło do zagubienia przesyłki zawierającej dane osobowe skarżących. Należy zwrócić uwagę, że RODO wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są do zapewnienia wdrażania organizacyjnych i technicznych środków bezpieczeństwa, jak również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Odnośnie zaś podnoszonej przez Bank w skardze kwestii, że organ w tożsamym stanie faktycznym zastosował odmienne, korzystne dla strony kryteria, należy stwierdzić, że w każdej sprawie organ administracyjny czyni własne ustalenia i co do zasady nie jest związany ustaleniami z innej sprawy. Ponadto należy zwrócić uwagę, że Sąd kontrolując legalność zaskarżonej decyzji samodzielnie oceniał zaistniałe w przedmiotowej sprawie okoliczności faktyczne i prawne i nie był związany oceną prawną zawartą w nieprawomocnym orzeczeniu sądu administracyjnego wydanym w innej sprawie, na który powołał się wnoszący skargę Bank (wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2021 r. sygn. akt II SA/Wa 2465/21). W tym stanie sprawy, nie podzielając argumentów zawartych w złożonej skardze oraz uznając, że organ w sposób prawidłowy zebrał i ocenił materiał dowodowy, jak również, że przy wykonywaniu tych czynności nie naruszył przepisów postępowania, a także dokonał prawidłowej wykładni przepisów prawa materialnego, mających zastosowanie wobec ustalonych okoliczności faktycznych sprawy, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2022 r., poz. 329 z późn. zm.), orzekł jak w wyroku.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 13.07.2026. · Źródło