III OSK 383/25

WyrokNaczelny Sąd Administracyjny2026-02-27

Skład orzekający: Przemysław Szustakiewicz, Wojciech Jakimowicz, Mariusz Kotulski

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy administrator danych osobowych ponosi odpowiedzialność za naruszenie ochrony danych osobowych, w tym ujawnienie danych osobowych, które nastąpiło w środowisku informatycznym podmiotu przetwarzającego, któremu powierzono przetwarzanie danych?
Ratio decidendi
Administrator danych osobowych ponosi odpowiedzialność za naruszenie ochrony danych osobowych, w tym ujawnienie danych osobowych, które nastąpiło w środowisku informatycznym podmiotu przetwarzającego. Podmiot przetwarzający działa w imieniu i na rzecz administratora, a administrator jest odpowiedzialny za zapewnienie wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych przez podmiot przetwarzający, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Niezabezpieczenie danych osobowych przez podmiot przetwarzający, skutkujące ich ujawnieniem, stanowi naruszenie zasady poufności i integralności danych, za które odpowiedzialność ponosi administrator.
Stan faktyczny
Skarga dotyczyła decyzji Prezesa Urzędu Ochrony Danych Osobowych, która nałożyła na administratora upomnienie za naruszenie przepisów RODO polegające na ujawnieniu danych osobowych klientki (imię, nazwisko, PESEL) w wyniku niezabezpieczenia serwera przez podmiot przetwarzający. Administrator kwestionował swoją odpowiedzialność, twierdząc, że nie dokonał ujawnienia danych i że posiadał podstawę prawną do ich przetwarzania. Wojewódzki Sąd Administracyjny oddalił skargę administratora, a następnie Naczelny Sąd Administracyjny oddalił skargę kasacyjną administratora.
Rozstrzygnięcie
Oddalono skargę kasacyjną.

Pełny tekst orzeczenia

Naczelny Sąd Administracyjny w składzie: Przewodniczący: Sędzia NSA Przemysław Szustakiewicz Sędziowie: Sędzia NSA Wojciech Jakimowicz (sprawozdawca) Sędzia del. WSA Mariusz Kotulski po rozpoznaniu w dniu 27 lutego 2026 r. na posiedzeniu niejawnym w Izbie Ogólnoadministracyjnej skargi kasacyjnej F. S.A. z siedzibą w G. od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 20 listopada 2024 r., sygn. akt II SA/Wa 1226/24 w sprawie ze skargi F. S.A. z siedzibą w G. na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 20 maja 2024 r., nr DS.523.3577.2020.PR.PB. w przedmiocie przetwarzania danych osobowych oddala skargę kasacyjną. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 20 listopada 2024 r., sygn. akt II SA/Wa 1226/24 oddalił skargę F. S.A. z siedzibą w G. (dalej także jako: administrator) na punkt 1 decyzji Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako: organ) z dnia 20 maja 2024 r., nr DS.523.3577.2020.PR.PB. w przedmiocie przetwarzania danych osobowych. Wyrok ten zapadł w następującym stanie faktycznym i prawnym sprawy: W dniu 6 lipca 2020 r. C.W. (dalej także jako: uczestniczka postępowania) złożyła do organu skargę na naruszenie przez administratora ochrony jej danych osobowych i wniosła o stwierdzenie bezprawności przetwarzania danych osobowych uczestniczki postępowania, co w konsekwencji doprowadziło do wycieku jej danych w dniach od 12 do 16 kwietnia 2020 r. oraz o przywrócenie stanu zgodnego z prawem w zakresie ochrony danych osobowych przez administratora. Jak wskazała uczestniczka postępowania dane dla których utracono poufność w wyniku tego naruszenia dotyczą umów sprzedaży energii elektrycznej i paliwa gazowego i obejmują one m.in. imię, nazwisko, adres, numer telefonu oraz numer PESEL. Decyzją z dnia 20 maja 2024 r., nr DS.523.3577.2020.PR.PB., na podstawie art. 104 § 1 Kodeksu postępowania administracyjnego w związku z art. 7 ust. 1 i ust. 2 ustawy o ochronie danych osobowych, art. 5 ust. 1 lit. f, art. 6 ust. 1, art. 28 ust. 1 i art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych); dalej jako: "RODO", po przeprowadzeniu postępowania administracyjnego w sprawie skargi uczestniczki postępowania na nieprawidłowości w procesie przetwarzania jej danych osobowych przez administratora, polegające na przetwarzaniu danych osobowych bez podstawy prawnej oraz naruszeniu ochrony jej danych osobowych, poprzez ich ujawnienie w zakresie imienia, nazwiska, adresu, numeru telefonu, numeru PESEL podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz administratora, organ udzielił administratorowi upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO i odmówił uwzględnienia wniosku w pozostałym zakresie. W uzasadnieniu decyzji organ wskazał, że ustalił następujący stan faktyczny: w dniu 18 maja 2020 r. uczestniczka postępowania została poinformowana przez administratora o naruszeniu ochrony danych osobowych jego klientów. Uczestniczka postępowania podniosła, że w niniejszej sprawie konieczne jest ustalenie czy administrator był w ogóle uprawniony do przechowywania jej danych osobowych, bowiem uczestniczka postępowania zawarła umowę sprzedaży energii elektrycznej z administratorem w dniu 15 lipa 2013 r. na czas określony, która to umowa obowiązywała do dnia 31 grudnia 2016 r. i – co istotne – nie została przedłużona, a uczestniczka postępowania nie podpisywała już żadnych innych umów z ww. podmiotem. Uczestniczka postępowania wskazała, że pojawia się zatem pytanie czy administrator był w ogóle uprawniony do przechowywania danych uczestniczki postępowania w momencie ich wycieku, skoro umowa między stronami przestała obowiązywać w dniu 31 grudnia 2016 r. Z kolei administrator wskazał, że uczestniczka postępowania zawarła z nim umowę kompleksowej sprzedaży energii elektrycznej w dniu 15 lipca 2013 r. i zgodnie z postanowieniami tej umowy sprzedaż energii elektrycznej była realizowana od października 2013 r. do grudnia 2016 r. Z kolei administrator w dniu 14 maja 2018 r. zawarł umowę powierzenia przetwarzania danych z P. sp. z o.o. z siedzibą w G. (zwaną dalej: podmiotem przetwarzającym), z którą łączy go wcześniej zawarta umowa o współpracy. Na podstawie ww. umów podmiot przetwarzający przetwarza w imieniu administratora dane osobowe jego klientów w celu ich przechowywania wraz z usługami towarzyszącymi, archiwizacji cyfrowej dokumentów oraz skanowania dokumentacji wraz z indeksacją opisową na rzecz administratora. W dniu 16 kwietnia 2020 r. administrator powziął informację o możliwym naruszeniu bezpieczeństwa danych osobowych i ustalił, że do naruszenia poufności danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego oraz że naruszenie to obejmowało pomocniczą bazę archiwum cyfrowego zawierającą indeksy wyszukiwania. Jeden z portów ww. bazy, znajdujący się w chmurze, nie został bowiem zabezpieczony hasłem, co umożliwiało osobom nieupoważnionym dostęp do bazy od dnia 12 do dnia 16 kwietnia 2020 r. Administrator wskazał, że po stwierdzeniu naruszenia bezpieczeństwa danych osobowych dostęp do bazy został zablokowany, poprzez wdrożenie zabezpieczeń przez podmiot przetwarzający. Administrator zgłosił ww. naruszenie do organu w dniu 18 kwietnia 2020 r., a następnie rozpoczął kontaktowanie się z osobami, których dotyczy naruszenie, informując o zaistniałym zdarzeniu oraz możliwych jego konsekwencjach, m.in. w celu umożliwienia podjęcia działań zapobiegawczych. Administrator wskazał także, że uczestniczka postepowania nie zwracała się do niego z żądaniem usunięcia jej danych osobowych. Administrator ustalił też, że w przypadku uczestniczki postępowania doszło do naruszenia poufności danych osobowych w zakresie imienia, nazwiska oraz numeru PESEL. W związku z powyższym wyciekiem administrator zawiadomił o możliwości popełnienia czynu zabronionego Prokuraturę Okręgową w Gdańsku - Wydział [...], Komendę Wojewódzką Policji w Gdańsku – [...] oraz NASK/CERT Polska. W postępowaniu prowadzonym przez Departament Kontroli i Naruszeń UODO (DKN.5130.2215.2020) ustalono, że w wyniku pozostawienia bazy danych klientów administratora na niezabezpieczonym serwerze doszło do dwóch nieuprawnionych połączeń z bazą danych, których charakterystyka wskazywała na kopiowanie jej zawartości. Pierwsze połączenie nastąpiło w dniu 15 kwietnia 2020 r. pomiędzy godziną 19:22 a 20:58 i aktywność z tego czasu może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od dnia 15 kwietnia 2020 r., godz. 23:00 do dnia 16 kwietnia 2020 r., godz. 04:06 i w jego wyniku miało dojść do pobrania danych o wolumenie około 11 GB. Biorąc powyższe pod uwagę organ wyjaśnił, że z uwagi na to, że uczestnika postępowania była klientką administratora od 15 lipca 2013 r. do 31 grudnia 2016 r., to podstawę prawną uprawniającą go do przetwarzania jej danych osobowych stanowił art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Natomiast po rozwiązaniu umowy łączącej strony, tj. po 31 grudnia 2016 r. dalszą podstawę przetwarzania danych osobowych uczestniczki postępowania stanowił początkowo art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a następnie art. 6 ust. 1 lit. c RODO – po wejściu w życie tego aktu prawnego, tj. od dnia 25 maja 2018 r. Organ podkreślił, że ww. przetwarzanie było niezbędne do wypełniania obowiązku prawnego wynikającego z art. 86 § 1 w związku z art. 70 § 1 Ordynacji podatkowej oraz art. 74 ustawy o rachunkowości. Organ wyjaśnił, że przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO). Organ zaznaczył przy tym, że administrator był uprawniony do przetwarzania danych osobowych uczestniczki postępowania, ale nie w kwestionowanym zakresie, tj. do ujawnienia ich poprzez udostępnienie. Organ dodał także, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO i wyjaśnił, że do zasad tych zalicza się m.in. zasadę poufności (lit. f), do której odwołuje się również motyw 39 RODO. Zasada ta wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. W ocenie organu w rozpoznawanej sprawie należało oczekiwać od administratora określonego działania, tj. odpowiedniego zabezpieczenia danych, co zniwelowałoby ryzyko ich utraty. Organ przypomniał, że ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, ze w okresie od dnia 12 do 16 kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów administratora, w tym danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. podmiotu przetwarzającego świadczącego usługi cyfrowego archiwum na rzecz administratora. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] w dniu 15 kwietnia 2020 r. pomiędzy godz. 19:22 a 20:58. Aktywność ta może wskazywać na skopiowanie danych o rozmiarze ok. 5 MB. Drugie połączenie trwało od 15 kwietnia 2020r. godz. 23:00 do 16 kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...]. W jego wyniku mogło dojść do pobrania danych o wolumenie ok. 11 GB. Incydent ten doprowadził do naruszenia poufności danych osobowych uczestniczki postępowania w zakresie imienia, nazwiska, oraz numeru PESEL. Organ podkreślił, że do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, jednak podmiot ten działał w imieniu i na rzecz administratora. W związku z tym w ocenie organu to administrator ponosi odpowiedzialność za ww. naruszenie. W związku z tym organ uznał, że ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym odbyło się z naruszeniem przez administratora art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO. Administrator zdaniem organu naruszył także zasadę poufności poprzez przetwarzanie danych uczestniczki postępowania w sposób niezapewniający im odpowiedniego bezpieczeństwa. W związku z powyższym organ, korzystając z uprawnienia określonego w art. 58 ust. 2 lit. b RODO, udzielił administratorowi upomnienia. Odnosząc się zaś do żądania uczestniczki postępowania w zakresie stwierdzenia bezprawności przetwarzania danych osobowych uczestniczki postępowania, organ wskazał, że administrator legitymował się podstawą prawną do przetwarzania jej danych osobowych po zakończeniu umowy łączącej strony, tj. na początku podstawę tę stanowił, jak już wyjaśniono, art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, a następnie art. 6 ust. 1 lit. c RODO z uwagi na obowiązek administratora do przechowywania danych m.in. z ksiąg rachunkowych, czy dowodów księgowych wynikający z Ordynacji podatkowej i ustawy o rachunkowości i wskazanych w nich terminów. W piśmie z dnia 12 czerwca 2024 r. administrator wywiódł do Wojewódzkiego Sądu Administracyjnego w Warszawie skargę na punkt 1 ww. decyzji organu z dnia 20 maja 2024 r., nr DS.523.3577.2020.PR.PB, w którym stwierdzono naruszenie przez administratora art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO oraz udzielono mu upomnienia. Administrator wnosząc o uchylenie decyzji w części, tj. w zakresie pkt 1 oraz o zasądzenie od organu na rzecz administratora kosztów postępowania, w tym kosztów zastępstwa prawnego, według norm przepisanych, a także o dopuszczenie i przeprowadzenie przez Sąd I instancji dowodu z dokumentu dołączonego do niniejszego pisma, tj. postanowienia Prokuratury Okręgowej w Gdańsku o umorzeniu dochodzenia z dnia 19 kwietnia 2021 r. w sprawie o sygn. akt PO I Ds.48.2020 na okoliczność, że administrator nie dokonywał przetwarzania danych poprzez ujawnienie ich osobom trzecim, zarzucił zaskarżonej decyzji: 1) naruszenie przepisów postępowania mające istotny wpływ na wynik sprawy, tj. art. 7, art. 8, art. 11 w związku z art. 107 § 3 oraz art. 77 § 1 Kodeksu postępowania administracyjnego w związku z art. 7 ust. 1 ustawy o ochronie danych osobowych, polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do wydania wadliwej i przedwczesnej decyzji; 2) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 80 Kodeksu postępowania administracyjnego w związku z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na przekroczeniu granic swobodnej oceny dowodów i – w konsekwencji – błędnym przyjęciu, że administrator przetwarzał dane osobowe uczestniczki postępowania bez podstawy prawnej, podczas gdy podstawa ta istniała w postaci art. 6 ust. 1 lit. f i c RODO, a ewentualne naruszenie poufności danych osobowych uczestniczki postępowania nie może zostać zakwalifikowane jako ujawnienie danych przez administratora; 3) naruszenie przepisów prawa materialnego, które miało wpływ na wynik sprawy, tj. art. 6 ust. 1 RODO, polegające na błędnym zastosowaniu skutkującym przyjęciem, że administrator przetwarzał dane osobowe uczestniczki postępowania, bez podstawy prawnej, podczas gdy w stanie faktycznym sprawy taka podstawa istniała w art. 6 ust. 1 lit. f i c RODO. W uzasadnieniu skargi administrator podniósł na wstępie, że organ błędnie powołał przepisy RODO, które rzekomo naruszył administrator, czym samym naruszył art. 7, art. 8, art. 11 w związku z art. 107 § 3 Kodeksu postępowania administracyjnego, bowiem w sentencji decyzji organ orzekł, że udziela upomnienia za naruszenie przepisów art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO polegające na ujawnieniu danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowe archiwum na rzecz administratora, czyli za przetwarzanie danych osobowych uczestniczki postępowania bez podstawy prawnej, zaś z uzasadnienia decyzji można wnioskować, ze kara upomnienia została nałożona za naruszenie poufności danych, tj. art. 5 ust. 1 lit. f RODO). Co do ustalenia stanu faktycznego sprawy administrator wskazał, że decyzja wydana przez organ w sprawie DKN.5130.2215.2020, której ustalenia faktyczne stanowiły z kolei podstawę wydania decyzji w niniejszej sprawie, została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22 ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego. Tym samym w ocenie administratora oznacza to, że zaskarżona w niniejszej sprawie decyzja organu narusza art. 77 i art. 80 Kodeksu postępowania administracyjnego, gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Organ nie ustalił w szczególności czy rzeczywiście i w jakim zakresie doszło do naruszenia przez administratora zasady poufności z art. 5 ust. 1 lit. f RODO w związku z art. 32 i następne RODO. Administrator wskazał także, że Prokuratura Okręgowa w Gdańsku postanowieniem z dnia 19 kwietnia 2021 r., sygn. akt PO I Ds.48.2020 umorzyła dochodzenie: 1) w sprawie uzyskania bez uprawnień w okresie od 15 do 16 kwietnia 2020 r. w nieustalonym miejscu za pośrednictwem sieci Internet poprzez niezabezpieczony port serwera informacji dla niego nieprzeznaczonej w postaci bazy danych klientów administratora, tj. o czyn z art. 267 § 1 Kodeksu karnego - wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego; 2) w sprawie przetwarzania, w nieustalonym okresie od 12 do 16 kwietnia 2020 r. w G., danych osobowych klientów administratora, chociaż ich przetwarzanie nie jest dopuszczalne lub bez uprawnienia, tj. o czyn z art. 107 ust. 1 ustawy o ochronie danych osobowych, wobec stwierdzenia, że czyn nie zawiera znamion czynu zabronionego. Administrator powołując się na uzasadnienie postanowienia wskazał, że dane personalne klientów administratora przez błąd ludzki pozostawiono na niezabezpieczonym serwerze danych, skąd zostały dwukrotnie skutecznie pobrane przez M.B. i \/.D. Jednak niezwłoczna reakcja tych dwóch osób i powiadomienie właściciela danych o ich wycieku, uchroniło wskazane informacje przed dalszym skutecznym pobieraniem z serwera i następczym rozpowszechnianiem. Bezzasadny jest zatem zarzut organu jakoby administrator nie podjął określonego działania, bo niezwłocznie po uzyskaniu informacji od ww. osób dostęp do danych został zabezpieczony. Nie zaistniało wobec tego żadnego rodzaju udostępnienie danych klientów administratora osobom nieupoważnionym. W ocenie administratora zastosowany przez organ środek prawny – upomnienie - jest nieadekwatny i oderwany od realiów niniejszej sprawy. Administrator wskazał, że organ w uzasadnieniu zaskarżonej decyzji wskazał stan, który uznał za niepożądany, a następnie błędnie określił go jako brak uprawnienia do przetwarzania danych osobowych uczestniczki postępowania w zakresie ujawnienia przez ich udostępnienie. Nie wskazał jednak czy i w jakim zakresie administrator uchybił obowiązkom - poza "ujawnieniem danych", czego nie uczynił. Administrator nie zgodził się ze stanowiskiem organu wyrażonym w uzasadnieniu zaskarżonej decyzji, zgodnie z którym z uwagi na to, że podmiot przetwarzający działa w imieniu i na rzecz administratora, to administrator ponosi odpowiedzialność za wskazane naruszenie. W ocenie administratora nie sposób jest przypisać prawodawcy intencji ustanowienia reguły odpowiedzialności administratora za utratę, czy też ujawnienie danych na zasadzie ryzyka. Ponadto, administrator nie zgodził się z organem jakoby zasadne było udzielenie mu - na podstawie art. 58 ust. 2 lit. b RODO - upomnienia wobec indywidualnych skarg w następstwie incydentów utraty danych, niezależnie od okoliczności danego zdarzenia - przyczynienia administratora. Administrator zauważył, że prowadzenie setek postępowań - wobec kolejnych wniosków osób poszkodowanych incydentami, gdzie może dochodzić do jednorazowej utraty tysięcy danych - stanowi bezzasadne obciążenie nie tylko dla podmiotu, od którego dane bezprawnie pozyskano (w niektórych przypadkach pomimo stosowania najwyższej klasy zabezpieczeń - wobec braku uchybienia wymaganiom art. 32 RODO), ale jest także poważnym uszczupleniem środków publicznych, z których utrzymywany jest wyspecjalizowany urząd. Prowadzenie takich postępowań administracyjnych nie służy jednocześnie eliminacji żadnych nieprawidłowości po stronie administratora. Administrator nie zgodził się również z dokonaną przez organ kwalifikacją jakoby dopuścił się naruszenia art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO, bowiem jego zdaniem w rozpatrywanej sprawie nie doszło do przetwarzania danych osobowych bez podstawy prawnej przez ich ujawnienie podmiotom nieupoważnionym. Jak podkreślił administrator, w czasie naruszenia bezpieczeństwa danych osobowych uczestniczki postępowania, tj. od 12 do 16 kwietnia 2020 r., administrator przetwarzał jej dane osobowe wyłącznie na podstawie art. 6 ust. 1 lit. f RODO przez czas przedawnienia roszczeń oraz na podstawie art. 6 ust. 1 lit. c RODO, czyli w obowiązku przechowywania niektórych danych na podstawie przepisów prawa i nie dokonywał ich ujawnienia innym administratorom. Administrator zaznaczył, że w orzecznictwie podkreśla się, że pojęcie przetwarzania opisuje czynność, czyli ze swej natury musi ona mieć swojego sprawcę. Celem przetwarzania danych uczestniczki postępowania, jak podkreślił administrator, nigdy nie było ujawnienie jej danych, zaś osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do jej danych osobowych nie są w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. W odpowiedzi na skargę organ wniósł o oddalenie skargi podtrzymując stanowisko wyrażone w zaskarżonej decyzji. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 20 listopada 2024 r., sygn. akt II SA/Wa 1226/24 oddalił skargę administratora na punkt 1 decyzji organu z dnia 20 maja 2024 r., nr DS.523.3577.2020.PR.PB. w przedmiocie przetwarzania danych osobowych. W uzasadnieniu wyroku Sąd I instancji wskazał na wstępie, że decyzja organu z dnia 20 maja 2024 r. w kwestionowanym zakresie dotyczącym punktu 1 - nie narusza prawa. Wojewódzki Sąd Administracyjny w Warszawie uznał, że z uwagi na to, że uczestniczka postępowania była klientką administratora do dnia 31 grudnia 2016 r., to trafnie organ stwierdził, że przetwarzanie jej danych osobowych przez administratora znajdowało oparcie w art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne wtedy, gdy jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Natomiast dalsze przetwarzanie danych osobowych uczestniczki postępowania (tj. po rozwiązaniu łączącej strony umowy) stanowił w ocenie Sądu I instancji początkowo art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z którym przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, a następnie, od dnia 25 maja 2018 r., art. 6 ust. 1 lit. c RODO, zgodnie z którym przetwarzanie jest zgodne z prawem gdy - i w takim zakresie, w jakim przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Ponadto, Wojewódzki Sąd Administracyjny w Warszawie zgodził się z organem, że przetwarzanie danych osobowych uczestniczki postępowania było niezbędne do wypełnienia obowiązku prawnego wynikającego, po pierwsze, z art. 86 § 1 Ordynacji podatkowej, a po drugie z art. 74 ustawy o rachunkowości. Następnie Sąd I instancji przypomniał, że organ w punkcie 1 decyzji udzielił administratorowi upomnienia za naruszenie art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO, polegające na udostępnieniu danych osobowych uczestniczki postępowania, podmiotom i osobom do tego nieupoważnionym, podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum na rzecz administratora. Istota sprawy sprowadzała się zatem, jak wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie, do oceny legalności udostępnienia (ujawnienia) danych osobom nieuprawnionym. W związku z powyższym Wojewódzki Sąd Administracyjny w Warszawie wskazał za organem, który ustalił, m.in. w oparciu o wyjaśnienia administratora, że w okresie od 12 do 16 kwietnia 2020 r. doszło do naruszenia ochrony danych osobowych klientów administratora, w tym danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. podmiotu przetwarzającego świadczącego usługi cyfrowego archiwum na rzecz administratora. W wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze doszło do dwóch nieuprawnionych połączeń z bazą, których charakterystyka wskazywała na kopiowanie zawartości bazy danych. Pierwsze połączenie nastąpiło z adresu IP [...] w dniu 15 kwietnia 2020 r. pomiędzy godz. 19:22 a godz. 20:58, skutkiem czego mogło dojść do skopiowania danych o rozmiarze ok. 5 MB. Natomiast drugie połączenie trwało od dnia 15 kwietnia 2020 r. godz. 23:00 do dnia 16 kwietnia 2020 r. godz. 04:06 i nastąpiło za pośrednictwem komputera lub serwera zdefiniowanego numerem IP [...], skutkiem czego mogło dojść do pobrania danych o wolumenie ok. 11 GB. Jak podkreślił Sąd I instancji kwestię pobrania danych potwierdza załączone przez administratora do pisma procesowego postanowienie o umorzeniu dochodzenia z dnia 19 kwietnia 2021 r. Wojewódzki Sąd Administracyjny w Warszawie wskazał, że powyższy incydent doprowadził do naruszenia poufności danych osobowych uczestniczki postępowania we wskazanym już wyżej zakresie, co potwierdził administrator w złożonych do organu wyjaśnieniach. Sąd I instancji stwierdził, że jakkolwiek do naruszenia bezpieczeństwa danych osobowych doszło w środowisku informatycznym podmiotu przetwarzającego, to jednak w procesie przetwarzania danych osobowych działał on jako podmiot przetwarzający, a zatem w imieniu i na rzecz administratora. W związku z powyższym Wojewódzki Sąd Administracyjny w Warszawie uznał, że administrator ponosi odpowiedzialność za wskazane naruszenie. Sąd I instancji zauważył bowiem, że zgodnie z art. 28 ust. 1 RODO jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie administrator w niniejszej sprawie skorzystał z usług podmiotu, który nie zapewniał wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO. Biorąc powyższe pod uwagę Sąd I instancji uznał, że organ trafnie podniósł, że proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO. Do zasad tych zalicza się między innymi zasadę poufności (lit. f). Jak wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie zasada ta wymaga, aby proces przetwarzania danych osobowych odbywał się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem danych osobowych oraz przypadkową ich utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych. Zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. W ocenie Sądu I instancji organ prawidłowo również zakwalifikował ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom nieupoważnionym - podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum - jako udostępnienie danych osobowych. Odnosząc się zaś do argumentacji skargi jakoby administrator nie dokonywał udostępnienia danych osobowych uczestniczki postępowania innym administratorom, Sąd I instancji wyjaśnił, że nieuprawnione udostępnienie (ujawnienie) nie odnosi się tylko do udostępnienia danych na rzecz konkretnego innego administratora, czy podmiotu przetwarzającego. Nieuprawnione udostępnienie (ujawnienie) danych dotyczy każdej sytuacji, gdy z danymi miała możliwość zapoznać się jakakolwiek osoba nieuprawniona, co miało miejsce w niniejszej sprawie, a co potwierdza przedłożone przez administratora postanowienie o umorzeniu dochodzenia. Sąd I instancji podkreślił, że istotą sprawy administracyjnej dotyczącej ochrony danych osobowych ze skargi uczestniczki postępowania nie jest ustalenie kwestii odpowiedzialności osoby trzeciej nieupoważnionej, nieuprawnionej do pozyskania danych (skopiowania tych danych, zapoznania się z nimi), ale kwestia odpowiedzialności administratora za zgodność z RODO przetwarzania danych osobowych. Okoliczność, że to nie administrator dokonał bezpośrednio udostępnienia danych uczestniczki postępowania, lecz podmiot przetwarzający, zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie nie wyłącza odpowiedzialności administratora w zakresie oceny zgodności z prawem tego przetwarzania - udostępnienia danych, zwłaszcza w sytuacji, gdy do tego udostępnienia (ujawnienia danych) doszło w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze. Sąd I instancji wyjaśnił, że zgodnie z art. 5 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych ("integralność i poufność"). Jak wyjaśnił Wojewódzki Sąd Administracyjny w Warszawie poufność danych należy rozumieć w ten sposób, że nie będą one udostępniane osobom i podmiotom nieuprawnionym. Dane osobowe powinny być również odpowiednio chronione przed przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (zasada integralności danych). Integralność chroni dane przed ich nieuprawnionym zniszczeniem lub uszkodzeniem. W celu wypełnienia zasady poufności i integralności danych administrator (a także podmiot przetwarzający) wdraża odpowiednie środki techniczne i organizacyjne. Wdrożenie środków technicznych i organizacyjnych nie może mieć charakteru jednorazowego. Środki te powinny podlegać okresowemu przeglądowi i ewentualnej aktualizacji. Zgodnie z zasadą rozliczalności administrator jest odpowiedzialny za przestrzeganie omówionych powyżej zasad i powinien być w stanie wykazać ich przestrzeganie (art. 5 ust. 2 RODO). Sąd I instancji podkreślił więc, że powyższe przepisy nakładają na administratora obowiązki w zakresie przestrzegania zasad i obarczają go odpowiedzialnością za ich naruszenie i wyjaśnił, że na gruncie RODO pojęcie rozliczalności oznacza odpowiedzialność za przestrzeganie przepisów rozporządzenia i możność wykazania ich przestrzegania. Stwierdzenie, że administrator powinien być w stanie wykazać przestrzeganie zasad, odczytywać można jako nałożenie na administratora ciężaru dowodowego w zakresie przestrzegania zasad przetwarzania danych. W razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator powinien być w stanie przedstawić dowody na to, że przestrzega zasad. Biorąc powyższe pod uwagę Wojewódzki Sąd Administracyjny w Warszawie stwierdził, że w niniejszej sprawie - wobec naruszenia ochrony danych, do którego doszło - to na administratorze spoczywał obowiązek wykazania, iż zasady określone w RODO były przestrzegane. Okolicznością niesporną w sprawie jest zaś to, że miało miejsce naruszenie ochrony danych osobowych uczestniczki postępowania, poprzez ich ujawnienie podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy, tj. podmiotu przetwarzającego, świadczącego usługi cyfrowego archiwum na rzecz administratora w wyniku niezabezpieczenia hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze, co umożliwiło dostęp do danych (kopiowanie) osobom nieupoważnionym. Na okoliczności te wskazywał administrator w toku postępowania, przedstawiając jednocześnie uzasadnienie postanowienia Prokuratury Okręgowej w Gdańsku o umorzeniu dochodzenia z dnia 19 kwietnia 2021 r. W związku z powyższym Sąd I instancji uznał, że organ prawidłowo stwierdził, że administrator nie zastosował właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych uczestniczki postępowania i w sytuacji złożenia indywidualnej skargi skutkuje odpowiedzialnością administratora na gruncie RODO. Z kolei wobec argumentacji skargi Sąd I instancji wyjaśnił, że w sprawie będącej przedmiotem rozpoznania przez Sąd nie chodziło o ustalenie stopnia wadliwości zabezpieczeń technicznych stosowanych przez podmiot przetwarzający i zwrócił uwagę na to, że innym postępowaniem jest postępowanie w ramach którego dokonywana jest ocena prawidłowości stosowania przepisów sekcji 1 (Obowiązki ogólne) czy sekcji 2 (Bezpieczeństwo danych osobowych) rozdziału IV RODO, czego w tej sprawie organ nie dokonywał, a innym rozpatrywanie przez organ indywidualnej skargi wniesionej przez osobę, której dane dotyczą w zakresie zgodności przetwarzania jej danych z przepisami RODO na podstawie art. 77 ust. 1 RODO. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie uczestniczka postępowania miała prawo wystąpić do organu z indywidualną skargą podnosząc kwestię niezgodnego z przepisami RODO przetwarzania (tj. ujawnienia) podmiotom nieuprawnionym jej danych osobowych przez administratora. W związku z powyższym Sąd I instancji stwierdził, że zasadnie zatem organ prowadził to postępowanie i rozstrzygnął je decyzją udzielając upomnienia administratorowi za naruszenie RODO polegające na udostępnieniu (ujawnieniu) bez podstawy prawnej danych osobowych uczestniczki postępowania podmiotom nieuprawnionym. Sąd I instancji przypomniał, że zgodnie z motywem 39 RODO dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym między innymi ochronę przed nieuprawnionym dostępem do nich. Opisana wyżej okoliczność polegająca na niezabezpieczeniu hasłem jednego z portów pomocniczej bazy indeksów znajdującej się w chmurze spowodowała, że dane osobowe uczestniczki postępowania zostały ujawnione podmiotom do tego nieuprawnionym. Co istotne, Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że w przedmiotowej sprawie nie doszło do złamania zabezpieczeń technicznych, lecz do ich niezastosowania polegającego na niezabezpieczeniu hasłem dostępu do bazy danych osobowych, tym samym zaś na umożliwieniu dostępu do nich i finalnie ich ujawnieniu, a więc przetworzeniu. W związku z powyższym Sąd I instancji stwierdził, że nie można zgodzić się ze stanowiskiem administratora, iż w tym przypadku nie mamy do czynienia z przetwarzaniem (udostępnieniem) danych osobowych uczestniczki postępowania. Wojewódzki Sąd Administracyjny w Warszawie zaznaczył, że ujawnienie danych osobowych, o którym mowa w powołanym wyżej art. 4 pkt 2 RODO, nie musi być wynikiem zaplanowanej operacji i nie musi być równoznaczne z działaniem (aktywnością) takim jak zamierzone przesłanie, czy rozpowszechnienie (aktywne dzielenie się danymi). Może ono polegać także na innego rodzaju udostępnieniu poprzez umożliwienie dostępu do danych. Zdaniem Sądu I instancji do takiej sytuacji niewątpliwie doszło w realiach rozpoznanej sprawy. Wojewódzki Sąd Administracyjny w Warszawie uznał, że poprzez opisane wyżej ujawnienie danych osobowych uczestniczki postępowania doszło do ich przetwarzania i to ono było przedmiotem postępowania prowadzonego przez organ. Kluczowe dla oceny takiego przetwarzania było zaś wskazanie podstawy prawnej, której - jak trafnie zdaniem Sądu I instancji stwierdził organ - nie było. W związku z powyższym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że w świetle przepisów RODO przetwarzanie (a zatem także ujawnienie, udostępnienie) danych osobowych uważa się za legalne, jeśli ich administrator spełni co najmniej jedną z przesłanek wskazanych w art. 6 ust. 1 RODO, a mianowicie: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów, b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Zdaniem Sądu I instancji żadna z powyższych przesłanek nie została w niniejszej sprawie spełniona w odniesieniu do udostępnienia danych osobowych uczestniczki postępowania podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. W związku z powyższym Wojewódzki Sąd Administracyjny w Warszawie zgodził się z organem, że administrator dopuścił się naruszenia art. 6 ust. 1 w związku z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych uczestniczki postępowania podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy świadczącego usługi cyfrowego archiwum, a zatem organ, korzystając z przysługującego mu uprawnienia określonego w art. 58 ust. 2 lit. b RODO, zasadnie udzielił administratorowi upomnienia. Jak zaznaczył Sąd I instancji w sprawie zastosowano przy tym jeden z najłagodniejszych środków nie przekraczając zasad proporcjonalności. Zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie zastosowany środek ten jest adekwatny do stwierdzonego w decyzji naruszenia RODO. W stanie faktycznym sprawy doszło bowiem do ujawnienia danych osobowych uczestniczki podmiotom i osobom do tego nieupoważnionym podczas operacji przetwarzania danych na serwerze zewnętrznego dostawcy. Powyższe incydenty doprowadziły do naruszenia poufności danych osobowych uczestniczki zakresie imienia i nazwiska oraz numeru PESEL. Ponadto, Sąd I instancji dodał, że o doniosłości naruszenia świadczy także treść postanowienia Prokuratury Okręgowej w Gdańsku o umorzeniu dochodzenia z dnia 19 kwietnia 2021 r. w sprawie sygn. akt PO I Ds.48.2020, z którego to postanowienia Sąd, na podstawie art. 106 § 3 ustawy Prawo o postępowaniu przed sądami administracyjnymi przeprowadził dowód uzupełniający z dokumentów. Wojewódzki Sąd Administracyjny w Warszawie zauważył, że w treści postanowienia wskazano, że "Dane personalne klientów Skarżącej poprzez błąd ludzki zostały pozostawione na niebezpiecznym serwerze danych, skąd dwukrotnie skutecznie pobrane" przez wymienione w postanowieniu osoby (s. 8 i 9 postanowienia). Biorąc powyższe pod uwagę Sąd I instancji stwierdził, że waga stwierdzonego naruszenia i jego charakter dawały podstawę do udzielenia administratorowi upomnienia. Zauważył przy tym, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych. Przepis art. 8 ust. 1 Karty praw podstawowych Unii Europejskiej oraz art. 16 ust. 1 Traktatu o funkcjonowaniu Unii Europejskiej stanowią, że każda osoba ma prawo do ochrony danych osobowych jej dotyczących. Stwierdzenie naruszenia ochrony danych przez administratora, jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie, musi wiązać się z określonymi konsekwencjami. Konkludując Sąd I instancji stwierdził, że zaskarżona decyzja organu w zakwestionowanym zakresie (dotyczącym punktu 1) nie narusza prawa, zaś zarzuty skargi nie zasługują na uwzględnienie. Organ zdaniem Wojewódzkiego Sądu Administracyjnego w Warszawie nie dopuścił się naruszenia przepisów RODO - zaskarżone rozstrzygnięcie zostało oparte na prawidłowej interpretacji norm prawa materialnego. W ocenie Sądu I instancji w toku postępowania nie doszło również do naruszenia art. 7, art. 77 § 1 i art. 80 Kodeksu postępowania administracyjnego, a organ prawidło ustalił stan faktyczny sprawy, w wystarczający sposób zebrał i ocenił materiał dowodowy, zaś ocena ta nie ma charakteru dowolnego. Wydając rozstrzygnięcie w sprawie organ w sposób przekonujący je uzasadnił, zgodnie z art. 107 § 3 Kodeksu postępowania administracyjnego. Jednocześnie Sąd I instancji uznał, że brak jest podstaw by stwierdzić, że w sprawie doszło do naruszenia zasady zaufania uczestnika postępowania do władzy publicznej (art. 8 Kodeksu postępowania administracyjnego), czy też zasady przekonywania (art. 11 Kodeksu postępowania administracyjnego). Skargę kasacyjną od powyższego wyroku wywiódł administrator i zaskarżając ten wyrok w całości oraz wnosząc o uchylenie zaskarżonego wyroku w całości i rozpoznanie skargi administratora na decyzję organu z dnia 20 maja 2024 r., nr DS.523.3577.2020.PR.PB., ewentualnie o uchylenie zaskarżonego wyroku w całości oraz przekazanie sprawy Wojewódzkiemu Sądowi Administracyjnemu do ponownego rozpoznania, rozpoznanie skargi na posiedzeniu niejawnym oraz zasądzenie kosztów postępowania, w tym kosztów zastępstwa procesowego według norm prawem przepisanych, zarzucił zaskarżonemu rozstrzygnięciu: 1) naruszenie przepisów postępowania, mające istotny wpływ na wynik sprawy, tj. art. 145 § 1 pkt 1 lit. c ustawy Prawo o postępowaniu przed sądami administracyjnymi w związku z art. 6, art. 7, art. 8 § 1 i 2, art. 77 § 1, art. 80, art. 107 § 3 Kodeksu postępowania administracyjnego w związku z art. 7 ust. 1 ustawy o ochronie danych osobowych polegające na niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do oddalenia skargi administratora dotyczącej wydania przez organ wadliwej i przedwczesnej decyzji, która nie została oparta na prawidłowo ustalonym stanie faktycznym; 2) naruszenie przepisów prawa materialnego, tj. art. 6 ust. 1 lit. f w związku z art. 5 ust. 1 lit. f i art. 32 RODO, przez ich błędną wykładnię, skutkującą przyjęciem, że administrator przetwarzał dane osobowe uczestniczki postępowania, poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem administrator posiadał podstawę prawną do przetwarzania danych osobowych uczestniczki postępowania i nie dokonywał ujawnienia danych osobom nieupoważnionym. W uzasadnieniu skargi kasacyjnej strona skarżąca kasacyjnie podniosła, że organ dopuścił się w niniejszej sprawie szeregu naruszeń przepisów postępowania, co powinno zostać skontrolowane przez Sad I instancji. Zdaniem strony skarżącej kasacyjnie usunięcie tych nieprawidłowości doprowadziłoby do odmiennego rozstrzygnięcia i uchylenia skarżonej decyzji, przez co spełniona byłaby także przesłanka "istotnego charakteru" naruszenia. Strona skarżąca kasacyjnie podkreśliła, że organ jest zobowiązany do przestrzegania m.in. zasady pogłębiania zaufania obywateli do organów praworządnego państwa (art. 8 § 1 Kodeksu postępowania administracyjnego), zgodnie z którą powinien w szczególności dokładnie wyjaśnić okoliczności sprawy, a także w sposób wyczerpujący zebrać i prawidłowo ocenić cały materiał dowodowy (art, 7, art. 77 § 1 i art. 80 Kodeksu postępowania administracyjnego) oraz uzasadnić swoje rozstrzygnięcie zgodnie z wymogami art. 107 § 3 Kodeksu postępowania administracyjnego. Strona skarżąca kasacyjnie dodała ponadto, że w procedurze administracyjnej nie ma zamkniętego katalogu środków dowodowych, jakie mogą być powoływane w toku postępowania, a jako dowód może posłużyć wszystko, co jest zgodne z prawem i może przyczynić się do wyjaśnienia sprawy (art. 75 § 1 Kodeksu postępowania administracyjnego). Strona skarżąca kasacyjnie podniosła, że organ błędnie powołał przepisy RODO, które rzekomo w sprawie naruszono, czym sam uchybił art. 7, art. 8 i art. 11 w związku z art. 107 § 3 Kodeksu postępowania administracyjnego. W ocenie strony skarżącej kasacyjnie sentencja wydanej w sprawie decyzji w żaden sposób nie odpowiada jej uzasadnieniu, bowiem z jego treści można wnioskować, że kara upomnienia została nałożona za naruszenie poufności danych (art. 5 ust. 1 lit. f RODO), ale już z samej sentencji wynika, że dotyczy ona przetwarzania bez podstawy prawnej (art. 6 ust. 1 RODO), polegającego na ujawnieniu danych osobom nieupoważnionym. Przede wszystkim jednak strona skarżąca kasacyjnie zwróciła uwagę na to, że decyzja wydana przez organ w sprawie o sygnaturze DKN.5130.2215.2020, której ustalenia faktyczne stanowiły podstawę wydania decyzji w niniejszej sprawie została uchylona w wyniku kontroli sądowej przez Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 10 października 2022 r., sygn. akt. II SA/Wa 567/22 ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego. W związku z powyższym w ocenie strony skarżącej kasacyjnie także zaskarżona w niniejszej sprawie decyzja organu narusza art. 77 i 80 Kodeksu postępowania administracyjnego, gdyż nie została oparta na prawidłowo ustalonym stanie faktycznym. Strona skarżąca kasacyjnie wskazała, że organ nie ustalił w szczególności, czy rzeczywiście i w jakim zakresie doszło do naruszenia przez administratora zasady poufności wynikającej z art. 5 ust. 1 lit. f RODO w związku z art. 32 i nast. RODO. Jak podniosła strona skarżąca kasacyjnie, organ nie ustalił na czym dokładnie polegało naruszenie danych osobowych, w tym tego, czy jakiekolwiek dane osobowe "wyciekły" z bazy danych, której naruszenie dotyczyło ani jakie to były rzeczywiście dane, co oznacza brak ustaleń organu co do skutków naruszenia. W ocenie strony skarżącej kasacyjnie nie można zgodzić się z argumentacją przedstawioną przez Wojewódzki Sąd Administracyjny w Warszawie, że wyłącznie na administratorze spoczywa ciężar udowodnienia wszystkich okoliczności sprawy i wykazanie, że zarzuty organu są bezpodstawne. Zdaniem strony skarżącej kasacyjnie przede wszystkim organ winien zebrać i przedstawić materiał dowodowy, z którego wynikałoby, że administratorowi można zarzucić nieprzestrzeganie zasady poufności i integralności danych osobowych, czego Prezes Urzędu Ochrony Danych Osobowych nie uczynił ani w niniejszej sprawie, ani w sprawie, na której ustalenia faktyczne się powołuje. Strona skarżąca kasacyjnie podniosła, że o ile należy zgodzić się co do tego, że zasada rozliczalności wprowadza obowiązek administratora przestrzegania zasad dotyczących przetwarzania danych i możliwości ich wykazania, o tyle należy zauważyć, że nie wyłącza ona przecież stosowania do postępowań administracyjnych organu przepisów Kodeksu postępowania administracyjnego. Strona skarżąca kasacyjnie podkreśliła, że art. 7 ust. 1 ustawy o ochronie danych osobowych nakazuje stosowanie wprost przepisów Kodeksu postępowania administracyjnego. W konsekwencji organ w toku postępowania administracyjnego jest związany przepisami Kodeksu postępowania administracyjnego dotyczącymi prowadzenia postępowania dowodowego, przez co jest zobowiązany do podjęcia wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego (art. 7 Kodeksu postępowania administracyjnego) oraz wyczerpującego zebrania i rozpatrzenia całości materiału dowodowego (art. 77 § 1 Kodeksu postępowania administracyjnego). Strona skarżąca kasacyjnie podkreśliła, że żaden przepis prawa nie pozwala zatem organowi na ograniczenie materiału dowodowego do dowodów i oświadczeń przedstawionych przez podmioty zobowiązane do przestrzegania przepisów RODO, a tym samym zdaniem strony skarżącej kasacyjnie Sąd I instancji bezzasadnie obarcza administratora ciężarem dowodowym w tym zakresie. Jednocześnie strona skarżąca kasacyjnie podniosła, że nie powinno budzić wątpliwości, że wywiązała się z zasady rozliczalności przedstawiając organowi obszerny materiał dowodowy, obejmujący wszelkie dokumenty wskazujące na stosowanie przez administratora wymaganych środków ochrony danych osobowych. Ponadto, Wojewódzki Sąd Administracyjny w Warszawie w ocenie strony skarżącej kasacyjnie wadliwie ocenił zebrany w sprawie materiał dowodowy, w szczególności opierając się na stanie faktycznym błędnie ustalonym w decyzji organu w sprawie o sygn. DKN.5130.2215.2020, która to decyzja została uchylona wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22. Strona skarżąca kasacyjnie wskazała, że posiadała podstawę przetwarzania danych osobowych uczestniczki postępowania w postaci zawartej z nią umowy (art. 6 ust. 1 lit. b RODO). Strona skarżąca kasacyjnie dodała, że w orzecznictwie podkreśla się, że pojęcie "przetwarzania" opisuje czynność, która ze swej natury musi mieć swojego sprawcę, a jedną z jej form stanowi "ujawnienie". W niniejszej sprawie celem przetwarzania danych osobowych uczestniczki postepowania przez administratora nigdy zaś nie było ujawnienie jej danych. Strona skarżąca kasacyjnie podkreśliła, że osoby lub podmioty, które potencjalnie mogły uzyskać dostęp do danych osobowych klientki administratora nie są w żadnym razie odrębnymi administratorami danych, na rzecz których ujawnienie nastąpiło. Strona skarżąca kasacyjnie podkreśliła, że przetwarzała dane osobowe uczestniczki postępowania wyłącznie na podstawie art. 6 ust. 1 lit. b RODO i nie dokonywała ich ujawnienia innym administratorom. W odpowiedzi na skargę kasacyjną organ wniósł o jej oddalenie wskazując, że w całości podtrzymuje swoje stanowisko wyrażone w zaskarżonej decyzji oraz w odpowiedzi na skargę skierowaną do Sądu I instancji, a także że w pełni podziela stanowisko przedstawione przez Wojewódzki Sąd Administracyjny w Warszawie w zaskarżonym wyroku. Organ dodał jedynie, że oczywistym jest, że art. 6 ust. 1 lit. b RODO nie mógł stanowić podstawy prawnej do przetwarzania danych osobowych uczestniczki postępowania poprzez ujawnienie ich podmiotom i osobom nieuprawnionym, a to właśnie było przedmiotem postępowania prowadzonego w niniejszej sprawie. Poza przedmiotem sprawy pozostaje zaś przetwarzanie danych osobowych uczestniczki postępowania w związku z zawarciem umowy jako innego procesu przetwarzania, którego uczestniczka postępowania zresztą nie kwestionowała. W ocenie organu podstawy prawnej kwestionowanego ujawnienia nie można było upatrywać w żadnej z przesłanek legalności przetwarzania (w tym przypadku udostępnienia danych), o których mowa w art. 6 ust. 1 RODO oraz podkreślił jednocześnie, że każdy proces przetwarzania danych osobowych musi być zgodny z zasadami ustanowionymi w art. 5 ust. 1 RODO, do których zalicza się m.in. zasadę poufności (lit. f), którą w niniejszej sprawie należało uwzględnić. W piśmie procesowym z dnia 24 lutego 2025 r. uczestniczka postępowania wniosła o oddalenie skargi kasacyjnej podkreślając, że wbrew stanowisku strony skarżącej kasacyjnie ujawnienie (udostępnienie) danych osobowych, choćby przypadkowe, stanowi przetwarzanie danych osobowych, które należy przypisać administratorowi, albowiem to na nim ciąży obowiązek zapewnienia bezpieczeństwa i poufności danych, w tym m.in. obowiązek ochrony przed nieuprawnionym dostępem do nich. Przetwarzanie danych osobowych musi, jak podkreśliła uczestniczka postępowania, spełniać wymogi z art. 6 ust. 1 RODO, który wymaga m.in. posiadania podstawy prawnej dla przetwarzania danych, co nie powinno budzić jakichkolwiek wątpliwości, czego zaś w okolicznościach niniejszej sprawy zabrakło. W ocenie uczestniczki postępowania niebudzącym wątpliwości jest, że w okolicznościach niniejszej sprawy doszło do naruszenia poufności jej danych osobowych oraz przetwarzania tych danych bez podstawy prawnej. W dodatkowym piśmie procesowym z dnia 8 maja 2025 r. administrator podkreślił m.in., że w związku z okolicznościami faktycznymi niniejszej sprawy należy odróżnić kwestię ujawnienia danych bez podstawy prawnej od sytuacji, w której osoba trzecia uzyskuje dostęp do danych bez działania osoby dane te przetwarzającej. Naczelny Sąd Administracyjny zważył, co następuje: Stosownie do art. 182 § 2 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (tj.: Dz.U. z 2026 r., poz. 143) - zwanej dalej p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje skargę kasacyjną na posiedzeniu niejawnym, gdy strona, która ją wniosła, zrzekła się rozprawy, a pozostałe strony, w terminie czternastu dni od dnia doręczenia skargi kasacyjnej, nie zażądały przeprowadzenia rozprawy. Z kolei według art. 182 § 3 p.p.s.a. na posiedzeniu niejawnym Naczelny Sąd Administracyjny orzeka w składzie jednego sędziego, a w przypadkach, o których mowa w § 2, w składzie trzech sędziów. Ponieważ w rozpoznawanej sprawie strona skarżąca kasacyjnie złożyła stosowny wniosek, a strona przeciwna nie przedstawiła odmiennych wniosków procesowych, skarga kasacyjna została rozpoznana na posiedzeniu niejawnym. Zgodnie z art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, bierze jednak z urzędu pod rozwagę nieważność postępowania. W sprawie nie występują, enumeratywnie wyliczone w art. 183 § 2 p.p.s.a. przesłanki nieważności postępowania sądowoadministracyjnego. Z tego względu, przy rozpoznaniu sprawy, Naczelny Sąd Administracyjny związany był granicami skargi kasacyjnej. Skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy (art. 174 p.p.s.a.). W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. Rozpoznając skargę kasacyjną w tak zakreślonych granicach, stwierdzić należy, że skarga ta nie zasługuje na uwzględnienie. W sytuacji, gdy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania (por. wyrok NSA z dnia 27 czerwca 2012 r., II GSK 819/11, LEX nr 1217424; wyrok NSA z dnia 26 marca 2010 r., II FSK 1842/08, LEX nr 596025; wyrok NSA z dnia 4 czerwca 2014 r., II GSK 402/13, LEX nr 1488113; wyrok NSA z dnia 17 lutego 2023 r., II GSK 1458/19; wyrok NSA z dnia 1 marca 2023 r., I FSK 375/20). Dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy, albo nie został dostatecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd pierwszej instancji przepis prawa materialnego. Dla uznania za usprawiedliwioną podstawę kasacyjną z art. 174 pkt 2 p.p.s.a. nie wystarcza samo wskazanie naruszenia przepisów postępowania, ale nadto wymagane jest, aby skarżący wykazał, że następstwa stwierdzonych wadliwości postępowania były tego rodzaju lub skali, iż kształtowały one lub współkształtowały treść kwestionowanego w sprawie orzeczenia (por. wyrok NSA z dnia 5 maja 2004 r., FSK 6/04, LEX nr 129933; wyrok NSA z dnia 26 lutego 2014 r., II GSK 1868/12, LEX nr 1495116; wyrok NSA z dnia 29 listopada 2022 r., I OSK 931/22). W ramach zarzutu naruszenia przepisów postępowania strona skarżąca kasacyjnie wytknęła Sądowi I instancji naruszenie art. 145 § 1 pkt 1 lit. c p.p.s.a. w związku z art. 6, art. 7, art. 8 § 1, § 2, art. 77 § 1, art. 80 oraz art. 107 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2025 r., poz. 1691 ze zm.) – dalej zwanej: k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), którego upatruje w niezastosowaniu zasad ogólnych postępowania administracyjnego: prawdy obiektywnej, pogłębiania zaufania obywateli do organów administracji publicznej, wyjaśnienia zasadności przesłanek (zasady przekonywania) oraz obowiązku zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący, co doprowadziło do oddalenia skargi administratora dotyczącej wydania przez organ wadliwej i przedwczesnej decyzji, która nie została oparta na prawidłowo ustalonym stanie faktycznym. Zarzut ten nie mógł jednak odnieść skutku. Przede wszystkim odnosząc się do konstrukcji ww. zarzutu, na podstawie których strona skarżąca kasacyjnie zarzuca naruszenie przez Wojewódzki Sąd Administracyjny w Warszawie art. 145 § 1 pkt 1 lit. c p.p.s.a. w powiązaniu z art. 7 ust. 1 ustawy o ochronie danych osobowych i ww. przepisami k.p.a. podkreślenia wymaga, że w orzecznictwie Naczelnego Sądu Administracyjnego ugruntowane jest stanowisko, że przepis art. 145 § 1 pkt 1 lit. c p.p.s.a., podobnie zresztą jak art. 146 § 1, art. 147, art. 149 § 1, czy też art. 151 i art. 161 § 1 p.p.s.a. ma charakter ogólny (blankietowy) i określa kompetencje sądu administracyjnego w fazie orzekania. Tego typu przepis nie może więc stanowić samodzielnej podstawy kasacyjnej. Strona skarżąca kasacyjnie chcąc powołać się na zarzut naruszenia art. 145 § 1 pkt 1 lit. c p.p.s.a. zobowiązana jest więc bezpośrednio powiązać omawiany zarzut z zarzutem naruszenia konkretnych przepisów, którym – jej zdaniem – Sąd I instancji uchybił w toku rozpoznania sprawy. Naruszenie ww. przepisów jest zawsze następstwem uchybienia innym przepisom, czy to procesowym, czy też materialnym (por. wyroki NSA: z dnia 30 kwietnia 2015 r., I OSK 1701/14, z dnia 29 kwietnia 2015 r., I OSK 1595/14, z dnia 29 kwietnia 2015 r., I OSK 1596/14, z dnia 24 kwietnia 2015 r., I OSK 1088/14, z dnia 8 kwietnia 2015 r., I OSK 71/15, z dnia 9 stycznia 2015 r., I OSK 638/14). Niezależnie jednak od tego, z uwagi na to, że strona skarżąca kasacyjnie wytyka Sądowi I instancji naruszenie art. 145 § 1 pkt 1 lit. c p.p.s.a., podkreślenia wymaga to, że Wojewódzki Sąd Administracyjny w Warszawie oddalając skargę w niniejszej sprawie na podstawie art. 151 p.p.s.a., nie stosował art. 145 § 1 pkt 1 lit. c p.p.s.a. określającego kompetencje sądu w razie uwzględnienia skargi na decyzję lub postanowienie, a zatem przede wszystkim z tego powodu nie mógł naruszyć tego przepisu. Odnosząc się zaś do zarzutu naruszenia art. 7 ust. 1 ustawy o ochronie danych osobowych zawierającego odesłanie do Kodeksu postępowania administracyjnego, na podstawie którego przepisy k.p.a. znajdują zastosowanie do postępowań administracyjnych prowadzonych przed Prezesem Urzędu Ochrony Danych Osobowych, a także wskazanych w zarzucie przepisów k.p.a., z którymi powiązano zarzut naruszenia niestosowanego w sprawie art. 145 § 1 pkt 1 lit. c p.p.s.a., wskazać należy, że wbrew twierdzeniom strony skarżącej kasacyjnie w rozpoznawanej sprawie organ wydał decyzję w oparciu o prawidłowo ustalony stan faktyczny, nie uchybiając wymienionym w zarzucie zasadom ogólnym postępowania administracyjnego, tj. zasadzie prawdy obiektywnej (art. 7 k.p.a.), pogłębiania zaufania obywateli do organów administracji publicznej (art. 8 k.p.a.), wyjaśnienia zasadności przesłanek (zasady przekonywania) (art. 11 k.p.a.), czy też obowiązkowi zebrania i rozpatrzenia całego materiału dowodowego w sposób wyczerpujący (art. 77 § 1 k.p.a.). Wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania dotyczącego nieprawidłowości w procesie przetwarzania danych osobowych uczestniczki postępowania przez administratora, polegające na naruszeniu ochrony danych osobowych, poprzez ich ujawnienie zostały wyjaśnione, a zgromadzone dowody związane z ww. przetwarzaniem danych zostały poddane wszechstronnej i odpowiadającej prawu ocenie. W sprawie wyjaśniono również wyczerpująco podstawy prawne działania organu w sprawie. Ponadto, w związku z treścią omawianego zarzutu podkreślenia wymaga, że w postępowaniu sądowoadministracyjnym sąd nie ustala stanu faktycznego, lecz bada, czy w trakcie postępowania administracyjnego zostały ujawnione wszystkie okoliczności istotne dla wydania decyzji, czy były one uwzględnione przy wydaniu decyzji i w jaki sposób zostały ocenione przez organ (por. wyrok NSA z 16 maja 2008 r., II OSK 554/07). Wojewódzki Sąd Administracyjny w Warszawie prawidłowo wywiązał się z tego obowiązku, dokonał poprawnej oceny zaskarżonej decyzji i słusznie przyjął ustalony przez organ stan faktyczny za odpowiadający wymogom prawa. Organ prowadząc postępowanie w niniejszej sprawie, powziął wszelkie niezbędne kroki do dokładnego wyjaśnienia stanu faktycznego sprawy. Zebrał i rozpatrzył cały materiał dowodowy, wskazując podstawy podjętego rozstrzygnięcia, a ocena ta nie narusza zasady swobodnej oceny dowodów. Organ ustosunkował się do wszelkich istotnych okoliczności wskazanych zarówno przez uczestniczkę postępowania, jak i administratora, a w związku z tym, że ocena materiału dowodowego dokonana przez organ i zaakceptowana przez Sąd I instancji nie została w skardze kasacyjnej skutecznie podważona, to w konsekwencji powyższego, Sąd I instancji prawidłowo, na podstawie art. 151 p.p.s.a., którego naruszenia nie zarzucono zresztą w skardze kasacyjnej, oddalił skargę administratora. Na marginesie jedynie dodać należy, w kontekście uzasadnienia skargi kasacyjnej, w którym strona skarżąca kasacyjnie wskazuje, że decyzja wydana przez organ w sprawie o sygnaturze DKN.5130.2215.2020, której ustalenia faktyczne stanowiły podstawę wydania decyzji w niniejszej sprawie, została uchylona wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22 ze względu na istniejące poważne nieprawidłowości po stronie organu w zakresie ustalenia stanu faktycznego, że ww. wyrok, na który powołuje się strona skarżąca kasacyjnie został uchylony wyrokiem Naczelnego Sądu Administracyjnego z dnia 6 lutego 2026 r., sygn. akt III OSK 445/23, a sprawę przekazano do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie. Naczelny Sąd Administracyjny w powyższym orzeczeniu uznał, że wbrew stanowisku Sądu I instancji wyrażonym w uchylonym wyroku, w sprawie tej wszystkie istotne okoliczności z punktu widzenia przedmiotu postępowania zostały wyjaśnione, a zgromadzony w sprawie obszerny materiał dowodowy został poddany wszechstronnej i odpowiadającej prawu ocenie. Dlatego powoływanie się przez stronę skarżącą kasacyjnie na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 10 października 2022 r., sygn. akt II SA/Wa 567/22, który został uchylony przez Naczelny Sąd Administracyjny nie mogło odnieść zamierzonego skutku. W związku z nieskutecznością podniesionego przez autora skargi kasacyjnej zarzutu w oparciu o drugą podstawę kasacyjną, wskazać należy, że zarzuty naruszenia przepisów postępowania służą m.in. kwestionowaniu ustaleń i ocen w zakresie stanu faktycznego sprawy, co oznacza, że brak tego rodzaju skutecznych zarzutów w niniejszej sprawie powoduje, że Naczelny Sąd Administracyjny w procesie kontroli instancyjnej przyjmuje, jako niezakwestionowany punkt odniesienia, stan faktyczny i jego ocenę przyjęte przez Sąd I instancji. Przechodząc do oceny zarzutu sformułowanego przez stronę skarżącą kasacyjnie w ramach pierwszej podstawy kasacyjnej przypomnieć należy, że naruszenie prawa materialnego może przejawiać się w dwóch postaciach: jako błędna wykładnia albo jako niewłaściwe zastosowanie określonego przepisu prawa. Podnosząc zarzut naruszenia prawa materialnego przez jego błędną wykładnię wykazać należy, że sąd mylnie zrozumiał stosowany przepis prawa, natomiast uzasadniając zarzut niewłaściwego zastosowania przepisu prawa materialnego wykazać należy, że sąd stosując przepis popełnił błąd subsumcji, czyli że niewłaściwie uznał, iż stan faktyczny przyjęty w sprawie odpowiada lub nie odpowiada stanowi faktycznemu zawartemu w hipotezie normy prawnej zawartej w przepisie prawa. W obu tych przypadkach autor skargi kasacyjnej wykazać musi, jak w jego ocenie powinna być rozumiana norma zawarta w stosowanym przepisie prawa, czyli jaka powinna być jego prawidłowa wykładnia. Jednocześnie należy podkreślić, że ocena zasadności zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie ustalonego w sprawie stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (por. wyrok NSA z dnia 13 sierpnia 2013 r., II GSK 717/12, LEX nr 1408530; wyrok NSA z dnia 4 lipca 2013 r., I GSK 934/12, LEX nr 1372091). Strona skarżąca kasacyjnie na podstawie zarzutu sformułowanego w ramach pierwszej podstawy kasacyjnej wytknęła Sądowi I instancji naruszenie art. 6 ust. 1 lit. f w związku z art. 5 ust. 1 lit. f i art. 32 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z dnia 4 maja 2016 r., str. 1, Dz. Urz. UE L 127 z dnia 23 maja 2018 r., str. 2 oraz Dz. Urz. UE L 74 z dnia 4 marca 2021 r., str. 35), dalej jako: "RODO", którego upatruje w dokonaniu przez Wojewódzki Sąd Administracyjny w Warszawie błędnej wykładni ww. przepisów skutkującej przyjęciem, że administrator przetwarzał dane osobowe uczestniczki postępowania, poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej, gdy tymczasem administrator posiadał podstawę prawną do przetwarzania danych osobowych uczestniczki postępowania i nie dokonywał udostępnienia danych osobom nieupoważnionym. Zarzut ten nie mógł odnieść skutku. Przede wszystkim w związku z konstrukcją omawianego zarzutu podkreślić należy, że podnosząc zarzut błędnej wykładni określonych przepisów prawa strona skarżąca kasacyjnie powinna wskazać, na czym polega błędne rozumienie tych przepisów i jaka, jej zdaniem, powinna być ich prawidłowa wykładnia. Tymczasem w niniejszej sprawie strona skarżąca kasacyjnie nie tylko nie wykazała na czym polega w jej ocenie błędne rozumienie art. 6 ust. 1 lit. f w związku z art. 5 ust. 1 lit. f i art. 32 RODO przez Wojewódzki Sąd Administracyjny w Warszawie, ani też jaka powinna być ich prawidłowa wykładnia, lecz w ogóle nie odnosiła się do kwestii rozumienia tych przepisów przyjętego przez Sąd I instancji, ograniczając się wyłącznie do próby zakwestionowania na podstawie omawianego zarzutu ustaleń i ocen w zakresie stanu faktycznego sprawy. Nawet jeśli przyjąć – w ramach rekonstrukcji omawianego zarzutu skargi kasacyjnej – że dotyczył on niewłaściwego zastosowania ww. przepisów RODO, to przywołany zarzut rozumiany w ten sposób również nie mógł odnieść skutku, bowiem skoro – jak wyżej wskazano – niewłaściwe zastosowanie prawa materialnego oznacza błąd w zakresie subsumcji stanu faktycznego wobec treści stosowanej normy prawnej, to może być ono konsekwencją wcześniejszych błędnych ustaleń w zakresie stanu faktycznego, jak i błędnej wykładni prawa materialnego, ale może mieć miejsce również wtedy, gdy prawidłowe są ustalenia i oceny w zakresie stanu faktycznego oraz wykładnia prawa materialnego, a wadliwość przejawia się wyłącznie w zestawieniu stanu faktycznego ze stanem prawnym sprawy. W rozpatrywanej skardze kasacyjnej, jak już wskazano, nie zakwestionowano skutecznie ustaleń i ocen w zakresie stanu faktycznego. W treści podniesionego zarzutu nie podważono również prawidłowości, na co również zwrócono uwagę, wykładni prawa materialnego w zakresie objętym omawianym zarzutem i stosowanego w realiach niniejszej sprawy. Oznacza to, że w realiach rozpatrywanej sprawy istotne jest zweryfikowanie, czy w podniesionym zarzucie strona skarżąca kasacyjnie wykazała, że Sąd I instancji w przyjętym przez ten Sąd stanie faktycznym i prawnym sprawy dokonał ich wadliwego zestawienia. W ocenie Naczelnego Sądu Administracyjnego treść omawianego zarzutu nie daje jednak podstaw do przyjęcia wypełnienia tego obowiązku przez stronę skarżącą kasacyjnie. Jednak o nieskuteczności omawianego zarzutu świadczy zatem przede wszystkim jego treść, która ewidentnie wskazuje na to, że strona skarżąca kasacyjnie na jego podstawie kwestionuje ustalenia i oceny w zakresie stanu faktycznego sprawy upatrując wadliwości działania Sądu I instancji w błędnej jej zdaniem ocenie charakteru działań administratora podejmowanych w niniejszej sprawie i w konsekwencji w przyjęciu, że administrator przetwarzał dane osobowe uczestniczki postepowania poprzez ich ujawnienie osobom nieupoważnionym, a zatem bez podstawy prawnej. Tego rodzaju oceny i ustalenia można natomiast kwestionować zarzutami naruszenia przepisów postępowania. Zgodnie z ugruntowanymi poglądami prezentowanymi w orzecznictwie Naczelnego Sądu Administracyjnego niedopuszczalne jest zastępowanie zarzutu naruszenia przepisów postępowania, zarzutem naruszenia prawa materialnego i za jego pomocą kwestionowanie ustaleń faktycznych. Próba zwalczenia ustaleń faktycznych poczynionych przez sąd pierwszej instancji nie może nastąpić przez zarzut naruszenia prawa materialnego (zob. wyrok NSA z dnia 29 stycznia 2013 r., I OSK 2747/12, LEX nr 1269660; wyrok NSA z dnia 6 marca 2013 r., II GSK 2327/11, LEX nr 1340137). Ocena zarzutu naruszenia prawa materialnego może być dokonana wyłącznie na podstawie konkretnego stanu faktycznego, nie zaś na podstawie stanu faktycznego, który skarżący uznaje za prawidłowy (zob. wyrok NSA z dnia 6 marca 2013 r., II GSK 2328/11, LEX nr 1340138; wyrok NSA z dnia 14 lutego 2013 r., II GSK 2173/11, LEX nr 1358369). Jeżeli strona skarżąca kasacyjnie uważa, że ustalenia faktyczne są błędne, to zarzut naruszenia prawa materialnego poprzez błędne zastosowanie jest co najmniej przedwczesny, zaś zarzut naruszenia prawa przez błędną jego wykładnię – niezasadny. Zarzut naruszenia prawa materialnego nie może opierać się na wadliwym (kwestionowanym przez stronę) ustaleniu faktu (zob. wyrok NSA z dnia 13 marca 2013 r., II GSK 2391/11, LEX nr 1296051). Dlatego przede wszystkim z tego powodu omawiany zarzut okazał się niezasadny. Niezależnie od powyższego w związku z treścią powyższego zarzutu dodać należy, że na podstawie zarzutu dokonania błędnej wykładni art. 6 ust. 1 lit. f w związku z art. 5 ust. 1 lit. f i art. 32 RODO niemożliwe było zarówno zakwestionowanie tego czy do ujawnienia danych osobowych uczestniczki postepowania podmiotom i osobom nieupoważnionym w ogóle doszło, jak i podważenie prawidłowości przypisania administratorowi odpowiedzialności za niezastosowanie właściwego poziomu bezpieczeństwa, co doprowadziło do nieuprawnionego udostępnienia danych osobowych uczestniczki postępowania. Analiza treści uzasadnienia skargi kasacyjnej prowadzi natomiast do wniosku, że właśnie do tego zmierza strona skarżąca kasacyjnie na podstawie omawianego zarzutu. To wszystko czyni zaś omawiany zarzut naruszenia prawa materialnego nieskutecznym. Skoro podniesione w skardze kasacyjnej zarzuty okazały się nieskuteczne, Naczelny Sąd Administracyjny nie miał podstaw do jej uwzględnienia, co skutkowało oddaleniem skargi kasacyjnej w oparciu o art. 184 p.p.s.a.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło