Spostrzeżenia oprzemy na przykładzie sprawy prowadzonej z urzędu przez prezesa UODO ws. wycieku danych osobowych z portalu Moneyman.pl. Po tym zdarzeniu w 2020 r. organ nałożył ponad milion złotych kary na spółkę ID Finance Poland (administratora danych). Do naruszenia doszło po stronie wyspecjalizowanego podmiotu przetwarzającego spoza UE, którego pracownik w wyniku błędu nie włączył zabezpieczeń na serwerze.

Nieuprawnione udostępnienie danych osobowych osobom trzecim

Decyzja prezesa UODO została zaskarżona do Wojewódzkiego Sądu Administracyjnego w Warszawie, który wyrokiem z 5 października 2021 r. (sygn. akt II SA/Wa 528/21) uchylił nałożoną karę. WSA uznał, że organ nadzorczy błędnie przypisał odpowiedzialność administratorowi, nie uwzględniając, że bezpośrednią przyczyną naruszenia był błąd procesora.

Od tego wyroku skargę kasacyjną złożył prezes UODO. Sprawa trafiła do NSA, który 18 czerwca 2025 r. wydał serię orzeczeń, w tym kluczowe w sprawie głównej (sygn. akt III OSK 669/22), oddalając skargę kasacyjną organu. Oznacza to, że kara została prawomocnie uchylona. Jednak motywy, jakimi kierował się NSA, są dalekie od tych, które przedstawił WSA, i otwierają zupełnie nowe pola do dyskusji.

W sprawie tego samego naruszenia NSA pod sygn. III OSK 2019/22, III OSK 2001/22, III OSK 2496/22, III OSK 2100/22, III OSK 2398/22, III OSK 1978/22, III OSK 1958/22, III OSK 1957/22 i III OSK 2441/22 badał także skargi kasacyjne od wyroków WSA w Warszawie dotyczących indywidualnych skarg osób, których dane dotyczą – gdzie prezes UODO udzielił administratorowi upomnienia za nieuprawnione udostępnienie ich danych osobowych osobom trzecim.

Na etapie WSA upomnienia zostały w większości utrzymane, przy czym dwie z ostatnich rozpatrywanych spraw zostały rozpatrzone na korzyść administratora. Skład orzekający w tych postępowaniach stwierdził: „Trafnie zauważyła też Spółka, że przyjęta przez organ koncepcja przypisywania administratorowi winy niejako obiektywnej – na zasadzie ryzyka – za samo zdarzenie udostępnienia przezeń administrowanych danych prowadziłaby do ustanowienia takiej odpowiedzialności na gruncie reguł cywilnoprawnych”. To z kolei miałoby potem reperkusje w postępowaniach cywilnych, z uwagi na treść art. 97 ustawy o ochronie danych osobowych.

NSA: administrator powinien odpowiadać za procesorów spoza UE

NSA postanowił rozstrzygnąć sprawę, opierając się na dwóch tezach: że administrator powinien odpowiadać za procesorów spoza UE, z uwagi na możliwości dochodzenia praw przez osoby, których dane dotyczą, oraz że postępowania w sprawach indywidualnych i w sprawie prowadzonej z urzędu powinny być połączone. Tym samym sąd wykroczył poza zakres skargi kasacyjnej prezesa UODO, która ani nie dotyczyła wątku prowadzenia różnych postępowań indywidualnych w sprawie tego samego naruszenia, ani też odpowiedzialności administratora za podmiot przetwarzający – wskazując w głównym zarzucie skargi kasacyjnej, że administrator dopuścił się własnych naruszeń RODO, niezależnych od tych występujących po stronie podmiotu przetwarzającego.

NSA w uzasadnieniu stwierdził, że „w sytuacjach, gdy administrator (...) zawiera umowę o powierzenie przetwarzania danych osobowych (...) z podmiotem, który nie podlega jurysdykcji państwa członkowskiego UE, wówczas ponosi on odpowiedzialność obiektywną za wszystkie czynności przetwarzania danych osobowych dokonywane przez taki podmiot przetwarzający”.

Zakres odpowiedzialności administratora danych osobowych budzi wątpliwości

Taka interpretacja budzi nasze wątpliwości co do braku jej oparcia w przepisach, w tym art. 28 RODO. Jeśli nawet najlepiej przeprowadzona ocena gwarancji przestrzegania RODO czy przekazywania danych poza EOG przez procesora nie będzie ograniczać odpowiedzialności administratora – to każdy podmiot publiczny czy prywatny ma do wyboru: korzystać tylko z procesorów z UE albo liczyć się z odpowiedzialnością na zasadzie ryzyka – niezależną od siebie – za każdym razem, gdy decyduje się korzystać z usług, narzędzi i innych rozwiązań wiążących się z powierzeniem przetwarzania danych podmiotowi spoza UE.

Połączenie sprawy prowadzonej z urzędu ze sprawami indywidualnymi jest zasadne, ale oznacza zmiany w sposobie działania organu nadzorczego, który do tej pory prowadził je oddzielnie dla każdej ze skarg osób, których dane dotyczą.

Zgodnie ze stanowiskiem NSA osoby składające skargi do organu nadzorczego powinny uzyskać status strony postępowania (III OSK 2001/22), co oznacza przyznanie im szeregu praw, w tym do składania wniosków dowodowych czy skarżenia kończącej postępowanie decyzji bądź postanowienia organu nadzorczego.

Innym aspektem takiego stanowiska jest konieczność zwiększenia nakładów pracy administratora danych bądź podmiotu przetwarzającego w zakresie podjęcia kroków co do ochrony tajemnicy przedsiębiorstwa i odpowiedniego stosowania krajowych przepisów dotyczących tego zagadnienia. Od incydentu do wyroku NSA minęło 5 lat i około 3 miesięcy – po takim czasie wracamy do punktu wyjścia. ©℗