Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Maciejuk (spr.), Sędzia WSA Ewa Radziszewska-Krupa, Asesor WSA Arkadiusz Koziarski, Protokolant starszy specjalista Ewa Kielak-Niedźwiedzka po rozpoznaniu na rozprawie w dniu 10 września 2025 r. sprawy ze skargi […] Sp. z o.o. z siedzibą […] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia […] grudnia 2024 r. nr […] w przedmiocie przetwarzania danych osobowych

1. uchyla zaskarżoną decyzję;

2. zasądza od Prezesa Urzędu Ochrony Danych Osobowych na rzecz […] Sp. z o.o. z siedzibą w […] kwotę 697 (słownie: sześćset dziewięćdziesiąt siedem) złotych tytułem zwrotu kosztów postępowania.

Prezes Urzędu Ochrony Danych Osobowych decyzją z dnia […] grudnia 2024 r. nr […], na podstawie art. 104 § 1 ustawy z dnia 14.06.1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 t.j.) w zw. z art. 7 ust. 1 i 2 ustawy z dnia 10.05.2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 t.j.), art. 5 ust. 1 lit. f, art. 6 ust. 1 oraz art. 58 ust. 2 lit. b rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4.05.2016 r., str. 1, Dz. Urz. L 127 z 23.05.2018 r., str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021 r., str. 35), zwanego dalej RODO, po przeprowadzeniu postępowania administracyjnego w sprawie skargi P.K. (zwany dalej wnioskodawcą, uczestnikiem) na nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] Sp. z .o.o. z siedzibą w […] polegające na udostępnieniu bez podstawy prawnej danych osobowych uczestnika, w zakresie jego adresu e-mail […], udzielił […] Sp. z .o.o. z siedzibą w […] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO, polegające na ujawnieniu danych osobowych P.K. w zakresie jego adresu e-mail […], podmiotom i osobom do tego nieupoważnionym z naruszeniem zasady poufności przetwarzania danych.

Prezes UODO w uzasadnieniu wskazał, że do Urzędu Ochrony Danych Osobowych wpłynęła skarga P.K. na nieprawidłowości w procesie przetwarzania jego danych osobowych przez […] Sp. z .o.o. z siedzibą w […] polegające na udostępnieniu bez podstawy prawnej danych osobowych uczestnika w zakresie jego adresu e-mail […].

Prezes UODO ustalił następujący stan faktyczny:

1.Wnioskodawca oświadczył, że cyt. “Skarżę firmę […] Sp. z o.o. za to że upubliczniła moje dane osobowe oraz adres e-mail […] (dowód: pismo uczestnika z dnia […] stycznia 2024 r.).

2. Spółka wskazała, że cyt. “Skarżący dnia […].09.2009 przekazał Spółce swoje dane osobowe, w zakresie: adres email […], imię, nazwisko, numer telefonu, adres, adres IP, w ramach zawierania umowy rejestracji konta użytkownika serwisu internetowego Spółki, w celu realizacji usługi utrzymania konta oraz realizacji zamówionych zakupów; Spółka nadal przetwarza powyższe dane w podanym zakresie i identycznym celu i będzie je przetwarzać do czasu rozwiązania umowy przez Skarżącego, co skutkować będzie usunięciem konta” (dowód: pismo Spółki z dnia […] lutego 2024 r.).

3. Spółka oświadczyła, że cyt. “W wiadomości e-mail z dnia […] lutego 2024 roku Skarżący wezwał Spółkę do zapłaty odszkodowania w wysokości 15 tys. złotych w związku z wyciekiem jego adresu e-mail w 2018 roku. Skarżący twierdził, że “na ten adres otrzymuje bardzo dużo wiadomości usiłujących wyłudzić dane osobowe i pieniądze” (dowód: pismo Spółki z dnia […] lutego 2024 r., wiadomość e-mail Skarżącego do Spółki z dnia […] stycznia 2024 r. – dołączona do pisma Skarżącego z dnia […] lutego 2024 r.).

4. Spółka wskazała, że cyt. “Spółka był[a] ofiarą przestępstwa przeciwko ochronie informacji w 2018 roku. Spółka dopełniła zobowiązań w zakresie ochrony danych klientów wynikających z przepisów prawa. Ponadto, w związku z uzyskaniem przez osoby nieuprawnione dostępu do niektórych danych […], użytkownicy otrzymali informacje o rekomendowanym sposobie postępowania, w celu zminimalizowania negatywnych skutków takiego dostępu. W konsekwencji Spółce nie można przypisać winy za ewentualne ujawnienie danych” (dowód: pismo Spółki z dnia […] lutego 2024 r.).

5. Spółka oświadczyła, że cyt. “Nie doszło do naruszenia ani nieprawidłowości przetwarzania danych w stosunku do Skarżącego po terminie kradzieży w roku 2018. Zdarzenie z roku 2018 skutkowało powiadomieniem osób poszkodowanych wraz z informacją o sposobie postępowania w zaistniałej sytuacji, w związku z czym Spółka spełniła wobec osób poszkodowanych obowiązek poinformowania o naruszeniu” (dowód: pismo Spółki z dnia […]lutego 2024 r.).

6. Spółka wyjaśniła, że cyt. “Skarżący nie zgłaszał żadnych innych oczekiwań co do bezpieczeństwa swoich danych. W zaistniałej sytuacji Spółka nie miała podstaw do podejmowania dodatkowych działań w kontekście otrzymanego zgłoszenia; Skarżący nie złożył do Spółki żądania usunięcia swoich danych osobowych, w tym adresu e-mail […], przetwarzanych przez Spółkę, nie skorzystał też z opcji samodzielnego usunięcia konta użytkownika, co skutkowałoby usunięciem jego danych osobowych” (dowód: pismo Spółki z dnia […] lutego 2024 r.).

Prezes UODO wskazał, że przedmiotem niniejszego postępowania wnioskodawca uczynił udostępnienie jego danych osobowych w zakresie jego adresu e-mail […], podmiotom i osobom do tego nieupoważnionym z naruszeniem zasady poufności przetwarzania tych danych. Prezes UODO wskazał na treść art. 4 pkt 2 RODO Prezes UODO powołał art. art. 6 ust. 1 RODO, art. 32 RODO.

Prezes UODO zaznaczył, że ze zgromadzonego materiału dowodowego wynika, że do naruszenia, o którym wnioskodawca powiadomił w swojej skardze, doszło w październiku 2018 r. – w wyniku przestępstwa, którego ofiarą padła Spółka. Spółka poinformowała, że dopełniła zobowiązań w zakresie ochrony danych klientów – w tym danych wnioskodawcy – wynikających z przepisów prawa.

Z akt sprawy wynika, że w związku z uzyskaniem przez osoby nieuprawnione dostępu do niektórych danych – Spółka poinformowała użytkowników o rekomendowanym sposobie postępowania, w celu zminimalizowania negatywnych skutków takiego dostępu. Prezes UODO podniósł, że w swoich wyjaśnieniach Spółka wskazała, że do naruszenia ochrony danych osobowych wnioskodawcy doszło w wyniku przestępstwa na szkodę Spółki oraz że “(…) Spółce nie można przypisać winy za ewentualne ujawnienie danych”.

Prezes UODO stwierdził, że Spółka ponosi odpowiedzialność za wskazane naruszenie, bowiem samo umożliwienie dostępu do danych osobowych przez podmioty i osoby nieupoważnione, w tym danych wnioskodawcy, jest naruszeniem ochrony danych osobowych. Powyższe odbyło się bowiem z naruszeniem przez Spółkę, jako administratora danych, przepisów ochrony danych osobowych, tj. art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO.

W ocenie Prezesa UODO, Spółka naruszyła zasadę poufności poprzez przetwarzanie danych wnioskodawcy w sposób niezapewniający im odpowiedniego bezpieczeństwa. Spółka nie była uprawniona do przetwarzania danych wnioskodawcy w przedmiotowym zakresie, tj. do ujawnienia ich podmiotom i osobom do tego nieupoważnionym, nawet, gdy do owego ujawnienia doszło w sposób niezamierzony i bezprawny. Prezes UODO stwierdził, że Spółka dopuściła się naruszenia art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO poprzez ujawnienie danych osobowych wnioskodawcy – w zakresie jego adresu e-mail […] – podmiotom i osobom do tego nieupoważnionym z naruszeniem zasady poufności, w związku z powyższym korzystając z uprawnień naprawczych przewidzianych w art. 58 ust. 2 lit. b RODO udzielił Spółce upomnienia.

Decyzja Prezesa UODO nr […] z dnia […] grudnia 2024 r. stała się przedmiotem skargi […] Sp. z o.o. z siedzibą w […], reprezentowanej przez pełnomocnika, do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Spółka zarzuciła naruszenie art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a. poprzez ich nieprawidłowe zastosowanie i przekroczenie granic swobodnej oceny dowodów polegające na błędnym przyjęciu, że Spółka naruszyła zasadę poufności w wyniku przetwarzania danych osobowych w sposób niezapewniający im odpowiedniego bezpieczeństwa, co według organu miało skutkować przetwarzaniem danych bez podstawy prawnej; wydaniu kategorycznej oceny o naruszeniu zasady poufności i integralności danych osobowych, mimo że organ nie przeprowadził w tym zakresie żadnego postępowania dowodowego, zgromadzony materiał dowodowy nie daje podstaw do uznania za udowodnione naruszenie zasady poufności i integralności, a ocena adekwatności stosowanych przez Spółkę zabezpieczeń, w kontekście wskazanego naruszenia, stanowi przedmiot odrębnego postępowania sądowoadministracyjnego; braku wykazania przez organ, w jaki sposób rzekome naruszenie zasady poufności i integralności danych miało skutkować przetwarzaniem danych osobowych w sposób niezgodny z prawem przez Spółkę; art. 8 § 1 i 2, art. 77 § 1 i 4 oraz art. 110 § 1 k.p.a., poprzez zaniechanie uwzględnienia faktu znanego organowi z urzędu, że działania Spółki, będące przedmiotem skargi (tj. rzekomo nieadekwatne zabezpieczenie bazy danych osobowych użytkowników portalu […]), były już przedmiotem decyzji organu, która została uchylona przez Naczelny Sąd Administracyjny, oraz kolejnej decyzji organu wydanej po jej uchyleniu, która została zaskarżona przez Spółkę do sądu administracyjnego; art. 107 § 1 pkt 6 oraz art. 107 § 3 k.p.a., poprzez ich niezastosowanie i sporządzenie uzasadnienia decyzji w sposób niezrozumiały, niezgodny z obowiązkami nałożonymi na organ w zakresie sporządzania uzasadnień, co przejawia się wewnętrzną sprzecznością uzasadnienia, brakiem wyczerpującego wskazania faktów, na których organ oparł rozstrzygnięcie, oraz przyjmowaniem założeń niepopartych dowodami ani uzasadnieniem logicznym co w konsekwencji uniemożliwia realną kontrolę merytoryczną zaskarżonej decyzji. Warunkowo akceptując ustalony stan faktyczny, czyniąc wywiedzioną skargę wszechstronnym i kompletnym środkiem zaskarżenia Spółka zarzuciła naruszenie art. 4 pkt 2 RODO poprzez jego błędną wykładnię, polegającą na przyjęciu, że uzyskanie przez osoby nieuprawnione dostępu do danych osobowych w wyniku przestępczego działania osób trzecich stanowi przetwarzanie danych osobowych przez administratora w rozumieniu rozporządzenia 2016/679, tj. wykonanie operacji na danych osobowych, w szczególności ich udostępnianie, tymczasem takie zdarzenie, zgodnie z definicją “przetwarzania” zawartą w art. 4 pkt 2 RODO, musi być wynikiem działania administratora, a nie osób trzecich; art. 6 ust. 1 RODO poprzez jego niewłaściwe zastosowanie, polegające na błędnym przyjęciu, że naruszenie ochrony danych osobowych w rozumieniu RODO, wynikające z nieuprawnionego dostępu do danych osobowych przez osoby trzecie, jednocześnie skutkuje naruszeniem zasady legalności oraz jej konkretyzacji wyrażonej w art. 6 ust. 1 RODO, podczas gdy podstawy prawne wskazane w art. 6 ust. 1 RODO dotyczą wyłącznie przetwarzania danych osobowych przez administratora, rozumianego jako dokonywanie operacji na danych osobowych, a w przypadku naruszenia ochrony danych osobowych, polegającego na nieuprawnionym dostępie przez osoby trzecie, nie dochodzi do przetwarzania danych osobowych przez administratora, co wyklucza możliwość uznania naruszenia art. 6 ust. 1 RODO; art. 5 ust. 1 lit. f RODO poprzez jego błędną wykładnię, polegającą na przyjęciu, że ważność podstawy prawnej przetwarzania danych osobowych zależy od odpowiedniego zabezpieczenia tych danych osobowych, podczas gdy zasada zgodności z prawem, określona w art. 5 ust. 1 lit. a RODO, jest niezależna od zasady integralności i poufności wynikającej z art. 5 ust. 1 lit. f RODO, a ewentualne naruszenie wymogów bezpieczeństwa, określonych w art. 32 RODO, nie prowadzi automatycznie do uznania, że dane były przetwarzane bez ważnej podstawy prawnej.

Spółka wniosła o uchylenie zaskarżonej decyzji w całości oraz zasądzenie od PUODO na rzecz […] kosztów sądowych, w tym kosztów zastępstwa procesowego według norm przepisanych.

Spółka w uzasadnieniu szerzej omówiła zarzuty skargi oraz przytoczyła orzecznictwo na poparcie swojego stanowiska. Podniosła m.in., że organ nie wykazał w jaki sposób rzekome naruszenie zasad poufności i integralności miało skutkować przetwarzaniem danych osobowych w sposób niezgodny z prawem przez Spółkę, nie zgromadził materiału dowodowego pozwalającego na ocenę adekwatności stosowanych przez Spółkę środków technicznych i organizacyjnych, nie przeanalizował, czy rzekome uchybienia w zabezpieczeniach rzeczywiście miały wpływ na naruszenie zasad poufności i integralności danych, nie przeprowadził badania stosowanych przez Spółkę zabezpieczeń, nie uwzględnił faktu, że ocena adekwatności zabezpieczeń stosowanych przez administratora danych jest przedmiotem odrębnego postępowania, w którym organ powinien dokonać szczegółowej analizy stanu faktycznego i prawnego, organ nie odniósł się do wcześniejszych postępowań ani nie uwzględnił ich wyników przy ocenie działań Spółki, co skutkowało niewystarczającym zbadaniem okoliczności sprawy.

Spółka stwierdziła, że organ błędnie uznał, że samo nielegalne pozyskanie danych przez podmiot trzeci automatycznie dowodziło braku adekwatnych zabezpieczeń zastosowanych przez Spółkę, a w konsekwencji prowadziło do uznania, że przetwarzanie danych odbywało się bez podstawy prawnej. Ponadto organ nie wyjaśnił, jakie konkretnie nieprawidłowości w zabezpieczeniu danych zostały stwierdzone.

Spółka wskazała, że w przypadku zdarzeń wynikających z działań osób trzecich, takich jak cyberatak czy inne przestępcze pozyskanie danych, brak jest podstaw do przyjęcia, że doszło do przetwarzania danych przez administratora. Operacje, te są wynikiem działań zewnętrznych, niezależnych od woli i intencji administratora. Kluczowym elementem przetwarzania danych w rozumieniu RODO jest aktywność administratora, której w przypadku nieuprawnionego dostępu przez osoby trzecie nie można stwierdzić. Spółka podniosła, iż należy odróżnić pojęcia przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO oraz naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Przetwarzanie oznacza czynności wykonywane na danych osobowych przez administratora lub podmiot przetwarzający w celu realizacji określonych celów. Natomiast naruszenie ochrony danych oznacza naruszenie bezpieczeństwa danych osobowych, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych. Działania osób trzecich, takie jak nieuprawniony dostęp do danych w wyniku przestępstwa, powinny być kwalifikowane jako naruszenie ochrony danych, a nie jako przetwarzanie danych przez administratora. W przypadku incydentu polegającego na nieuprawnionym dostępie do danych przez osoby trzecie (np. w wyniku cyberataku), brak jest podstaw do uznania, że doszło do aktywnego działania administratora w rozumieniu art. 6 ust. 1 RODO. Takie zdarzenie należy kwalifikować jako naruszenie ochrony danych osobowych zgodnie z art. 4 pkt 12 RODO, który obejmuje przypadki przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych. W świetle powyższego art. 6 ust. 1 RODO nie znajduje zastosowania w przypadku naruszenia ochrony danych osobowych wynikającego z działań osób trzecich. Naruszenie zasad integralności i poufności wynikających z art. 5 ust. 1 lit. f RODO nie wpływa automatycznie na ocenę zgodności przetwarzania z art. 6 ust. 1 RODO.

Prezes UODO w odpowiedzi na skargę wniósł o jej oddalenie, podtrzymując stanowisko wyrażone w zaskarżonej decyzji. Organ w uzasadnieniu wskazał, że prowadząc postępowanie w niniejszej sprawie przedsięwziął wszelkie przewidziane prawem czynności służące wnikliwemu i rzetelnemu ustaleniu okoliczności faktycznych przedmiotowej sprawy i zebraniu materiału dowodowego potrzebnego do rozstrzygnięcia jej decyzją administracyjną. Dodał m.in., że niezależnie od innych postępowań prowadzonych w związku z ujawnieniem danych osobowych przez Spółkę w wyniku tego samego cyberataku – organ zobligowany był do przeprowadzenia postępowania administracyjnego na skutek otrzymania indywidualnej skargi dotyczącej nieprawidłowości w procesie przetwarzania danych osobowych uczestnika. Ponadto okoliczność, że przetwarzanie danych osobowych odbyło się zgodnie z zamiarem czy intencją administratora lub podmiotu przetwarzającego, nie ma znaczenia z perspektywy samego stwierdzenia istnienia procesu przetwarzania danych, np. udostępnienia, które może polegać na zamierzonym bądź niezamierzonym spowodowaniu dostępności danych czy też umożliwieniu dostępu do danych osobowych, np. w wyniku ich nienależytego zabezpieczenia. Z punktu widzenia analizowanej przesłanki nie ma także znaczenia świadomość osoby przeprowadzającej daną operację lub decydującej o jej wykonaniu co do tego, czy operacje przeprowadzane są na danych osobowych lub ich zestawach. Ważna jest tylko i wyłącznie konsekwencja w postaci wykonania operacji lub ich zestawu na danych osobowych, choćby osoba realizująca określoną czynność nie zdawała sobie sprawy, że dotyczy ona danych stanowiących dane osobowe. W kontekście powyższego sam fakt ujawnienia lub innego rodzaju udostępnienia danych osobowych przez administratora stanowi proces przetwarzania danych w rozumieniu art. 4 pkt 2 RODO.

Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje.

Zgodnie z art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. z 2024 r., poz. 1267), sądy administracyjne sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej, przy czym kontrola ta sprawowana jest pod względem zgodności z prawem, jeżeli ustawy nie stanowią inaczej. Sąd rozstrzyga w granicach danej sprawy, nie będąc jednak związany zarzutami i wnioskami skargi oraz powołaną podstawą prawną (art. 134 § 1 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz. U. z 2024 r., poz. 935), zwanej dalej P.p.s.a.

W świetle powołanych przepisów, Wojewódzki Sąd Administracyjny w Warszawie, w zakresie swojej właściwości, ocenia zaskarżoną decyzję administracyjną, postanowienie, czy też inny akt lub czynność z zakresu administracji publicznej dotyczącą uprawnień lub obowiązków wynikających z przepisów prawa, z punktu widzenia ich zgodności z prawem materialnym i przepisami postępowania administracyjnego, według stanu faktycznego i prawnego obowiązującego w dacie wydania tego aktu lub podjęcia spornej czynności. Chodzi więc o kontrolę aktów lub czynności z zakresu administracji publicznej dokonywaną wyłącznie pod względem ich zgodności z prawem materialnym i przepisami procesowymi, nie zaś według kryteriów słuszności, czy też zgodności z zasadami współżycia społecznego.

Uwzględniając powyższe Sąd stwierdził, że skarga jest zasadna choć z powodów innych niż w niej podniesione. Zaskarżona decyzja narusza przepisy prawa procesowego, tj. art. 7, art. 77 § 1, art. 80 i art. 107 § 1 k.p.a. w stopniu, który mógł mieć istotny wpływ na wynik sprawy.

Zaskarżoną decyzją Prezes UODO udzielił […] Sp. z o.o. siedzibą w […] upomnienia za naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO wskazując, że naruszenie to polegało na ujawnieniu danych osobowych P.K. w zakresie jego adresu e-mail […], podmiotom i osobom do tego nieupoważnionym z naruszeniem zasady poufności przetwarzania danych.

Z treści rozstrzygnięcia wnioskować należy, że organ do spraw ochrony danych osobowych przyjął, że adres e-mail […] stanowi daną osobową. Powyższe należy wnioskować, albowiem uzasadnienie zaskarżonej decyzji żadnych rozważań w tym zakresie nie zawiera. Organ stwierdził w rozstrzygnięciu, że doszło do ujawnienia wskazanego adresu e-mail przez Spółkę osobom nieupoważnionym, co stanowiło zdaniem organu naruszenie art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f RODO.

W świetle RODO wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne (motyw 39).

Zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Stosownie zaś z art. 5 ust. 1 RODO, określającym zasady dotyczące przetwarzania danych osobowych, dane osobowe muszą być: przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (“zgodność z prawem, rzetelność i przejrzystość”); b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (“ograniczenie celu”); c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (“minimalizacja danych”); d) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (“prawidłowość”); e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (“ograniczenie przechowywania”); f) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (“integralność i poufność”). Zgodnie z ust. 2, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (“rozliczalność”).

W sprawie tej organ powiązał naruszenie przez organ art. 6 ust. 1 RODO z art. 5 ust. 1 lit.f RODO. Organ uznał zatem, że doszło do ujawnienia danych osobowych (adresu e-mail) uczestnika bez podstawy prawnej z naruszeniem zasady poufności przetwarzania danych.

W sprawie tej Spółka nie kwestionowała w toku postępowania, że mogło dojść do ujawnienia adresu e-mail uczestnika wskutek ataku hackerskiego, który miał miejsce w 2018 r. Na tej podstawie organ przyjął, mimo nie powołania się na żaden dowód w tym zakresie, że to Spółka udostępniła adres e-mail uczestnika postępowania. Akta postępowania administracyjnego nie zawierają żadnego materiału dowodowego w tym zakresie, co uchybia przepisowi art. 7 i art. 77 k.p.a. Organ nie powołał się na żaden dokument ani inne postępowanie, z którego wynika powyższe (organ wskazał jedynie na stronie 4 decyzji, że “Ze zgromadzonego w niniejszej sprawie materiału dowodowego wynika, że do naruszenia, o którym Skarżący powiadomił w swojej skardze, doszło w październiku 2018 r. (…)”).

Niezależnie od powyższego wskazania wymaga, że kluczową kwestią wymagającą rozważań i oceny Prezesa UODO było w tej sprawie ustalenie, czy wskazany w decyzji adres e-mail stanowi daną osobową w rozumieniu art. 4 pkt 1 RODO. Powyższego w sprawie zabrakło. Dopiero zaś po wykazaniu powyższego można rozważać na gruncie RODO, w ustalonym (z uwzględnieniem zasad k.p.a.) w danej sprawie stanie faktycznym, kwestie zgodności bądź niezgodności z RODO ujawnienia osobom nieupoważnionym danej osobowej przez administratora.

W sprawie tej organ potraktował adres e-mail uczestnika postępowania jako daną osobową, co wynika z ujmowania przez organ tego adresu jako danej osobowej w treści rozstrzygnięcia decyzji. Jednakże z uzasadnienia decyzji nie wynika, jakie były tego przesłanki, jakie elementy tego adresu e-mail bądź inne dane, czy okoliczności jego ujawnienia, okoliczności faktyczne sprawy, przesądziły o zakwalifikowaniu przez Prezesa UODO adresu e-mail […] jako danej osobowej.

Sąd podkreśla, że zwracała na to uwagę Spółka w swoich wyjaśnieniach z dnia […] lutego 2024 r. skierowanych do Prezesa UODO, jednakże organ nie pochylił się nad tą kwestią, które to uchybienie przepisowi art. 77 § 1 i art. 80 k.p.a. mogło mieć istotny wpływ na wynik niniejszej sprawy.

Wskazania wymaga, że zgodnie z art. 4 pkt 1 RODO, “dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Prezes UODO nie stwierdził w uzasadnieniu decyzji, że adres e-mail uczestnika postępowania stanowi daną dotyczącą zidentyfikowanej bądź możliwej do zidentyfikowania osoby fizycznej. Organ nie odnosił się przy tym w decyzji do innych informacji o osobie wnioskodawcy, które miałyby być ujawnione i z którymi powiązał ewentualnie ten adres e-mail.

W motywie 26 RODO wskazano, że aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować. Niniejsze rozporządzenie nie dotyczy więc przetwarzania takich anonimowych informacji, w tym przetwarzania do celów statystycznych lub naukowych.

Dane osobowe umożliwiające zidentyfikowanie osoby fizycznej bezpośrednio to takie informacje, które same w sobie inkorporują treść pozwalającą na identyfikację tej osoby, bez konieczności integrowania (łączenia) tych danych z innymi informacjami (v. wyrok NSA z dnia 14 stycznia 2025 r. sygn. akt III OSK 6041/21, orzeczenia.nsa.gov.pl).

Sąd nie ma podstaw do zastępowania organu i wywodzenia na tym etapie postępowania, czy dany adres e-mail, sam, bądź w powiązaniu z innymi danymi (jakimi), w konkretnych okolicznościach stanu faktycznego sprawy, stanowi daną osobową uczestnika postępowania, która według organu została ujawniona przez Spółkę.

Prezes UODO nie wskazał w uzasadnieniu decyzji dlaczego ewentualnie uważa, że adres e-mail uczestnika postępowania (wnioskodawcy) – w okolicznościach faktycznych tej sprawy – dotyczy zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

W zaskarżonej decyzji nie ma żadnych rozważań w tym zakresie, a biorąc pod uwagę, że adres e-mail, o który chodzi w sprawie nie zawiera w sobie imienia i nazwiska uczestnika postępowania, kwestia ta jako nieoczywista powinna być przez organ rozważona i oceniona.

Z akt administracyjnych wynika, że Spółka przedstawiała organowi argumentację, że wymieniony adres e-mail stanowi zlepek liter i nie pozwala na identyfikację wnioskodawcy oraz że identyfikacja danych osoby wymaga w takiej sytuacji dużych nakładów pracy oraz środków finansowych. Organ nie odniósł się do tej kwestii i jej nie rozważył, czym naruszył art. 7, 77, 80 i art. 107 § 3 k.p.a., co mogło mieć istotny wpływ na wynik sprawy.

Od wskazanego wyżej ustalenia zależy, czy sprawę można rozpatrywać na gruncie RODO. Organ nie powiązał udostępnienia adresu e-mail z udostępnieniem żadnych innych informacji o osobie wnioskodawcy stąd nie sposób przyjąć, że bez wątpliwości mamy do czynienia z daną osobową skoro nie wykazano, że adres ten pozwala na bezpośrednie lub pośrednie zidentyfikowanie wnioskodawcy. Organ nie poczynił rozważań i oceny w tym zakresie w zaskarżonej decyzji, co ma kluczowe znaczenie dla dokonywania przez Prezesa UODO dalszych rozważań i ocen na gruncie RODO w zakresie ewentualnej zgodności bądź niezgodności przyjętego przez organ działania Spółki z tym aktem prawnym.

Już tylko z powodu tego uchybienia przepisom art. 7, art. 77 § 1, art. 80 i art. 107 § 3 k.p.a. konieczne stało się wyeliminowanie zaskarżonej decyzji z obrotu prawnego.

Ponownie rozpoznając sprawę organ winien – przy ewentualnym podtrzymaniu twierdzenia, że adres e-mail uczestnika postępowania, o który chodzi w sprawie, jest daną osobową – wykazać powyższe w uzasadnieniu decyzji, uzasadnić swoje stanowisko w sposób wyczerpujący. Organ dokonując ustaleń faktycznych powinien powołać się na dowód, z którego wywodzi okoliczności faktyczne.

Sąd zauważa jednocześnie, że wnioskodawca w skardze do organu wskazywał na upublicznienie przez Spółkę “danych osobowych oraz adresu e-mail […]. Organ nie dokonał żadnych ustaleń dotyczących zakresu ujawnionych ewentualnie danych osobowych uczestnika postępowania, o których mowa w skardze.

Decyzja dotyczy wyłącznie adresu e-mail. Sąd zauważa też, że Spółka wskazała w wyjaśnieniach z […] lutego 2024 r., że uczestnik nie wykazał, aby to Spółka była podmiotem odpowiedzialnym za ewentualne upublicznienie jego danych.

Z decyzji nie wynika, na czym (na jakim dowodzie) organ oparł ustalenie o naruszeniu RODO przez skarżącą Spółkę, tym bardziej, że wnioskodawca w skardze do organu z dnia […] stycznia 2024 r. wskazywał, że “ostatnio” otrzymuje bardzo dużo wiadomości “usiłujących wyłudzić dane osobowe.” Decyzja nie zawiera żadnych ustaleń co do daty (okresu) ewentualnego ujawnienia danych osobowych podmiotom nieuprawnionym. Z akt administracyjnych wynika, że Spółka wskazała w wyjaśnieniach z dnia […] lutego 2024 r., iż “nie doszło do naruszenia i nieprawidłowości przetwarzania danych w stosunku do uczestnika postępowania po terminie kradzieży w roku 2018”. Organ nie odniósł się do tych wyjaśnień w kontekście ewentualnego ujawnienia danych osobowych przez Spółkę.

Przepis art. 107 § 3 k.p.a. stanowi, że uzasadnienie faktyczne decyzji powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł, oraz przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej, zaś uzasadnienie prawne – wyjaśnienie podstawy prawnej decyzji, z przytoczeniem przepisów prawa. Uzasadnienie zaskarżonej decyzji wymogów tych nie spełnia, a uchybienie przepisowi art. 107 § 3 k.p.a. w sprawie niniejszej mogło mieć istotny wpływ na wynik sprawy.

Udzielenie upomnienia, na podstawie art. 58 ust. 2 lit. b RODO, za naruszenie RODO w związku z przetwarzaniem, nierozerwalnie związane jest w pierwszej kolejności z ustaleniem, że mamy do czynienia z daną osobową. Za co najmniej przedwczesne, w tych okolicznościach, Sąd uznał zastosowanie wobec Spółki upomnienia.

Rozpoznając sprawę ponownie organ weźmie pod uwagę przedstawione wyżej wskazania, zwłaszcza w zakresie konieczności dokonania oceny, czy adres e-mail wskazany w decyzji stanowi w ocenie organu daną osobową. Zależnie od poczynionych w sprawie ustaleń faktycznych i dokonanej oceny materiału dowodowego organ podejmie stosowną decyzję.

Mając powyższe na uwadze Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 145 § 1 pkt 1 lit. c ustawy – Prawo o postępowaniu przed sądami administracyjnymi, orzekł jak w punkcie 1 wyroku. O zwrocie kosztów postępowania, jak w punkcie 2 wyroku Sąd orzekł na podstawie art. 200 w zw. z art. 205 powołanej ustawy. Do kosztów tych Sąd zaliczył uiszczony wpis od skargi (200 zł), wynagrodzenie adwokata reprezentującego skarżącego (480 zł) i opłatę skarbową uiszczoną od dokumentu pełnomocnictwa (17 zł).