Dnia 5 listopada 2025 roku Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Teresa Zyglewska Sędziowie: sędzia NSA Artur Kuś (spr.) sędzia del. WSA Maciej Kobak Protokolant: asystent sędziego Adam Płusa po rozpoznaniu w dniu 5 listopada 2025 roku na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej M. Z. prowadzącej działalność gospodarczą pod firmą […] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 24 listopada 2021 r. sygn. akt II SA/Wa 790/21 w sprawie ze skargi M. Z. prowadzącej działalność gospodarczą pod firmą […] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z 5 stycznia 2021 r. nr DKE.561.11.2020.MM.106493 w przedmiocie nałożenia administracyjnej kary pieniężnej

1. oddala skargę kasacyjną,

2. odstępuje od zasądzenia kosztów postępowania kasacyjnego w całości.

Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z 24 listopada 2021 r. sygn. akt II SA/Wa 790/21 oddalił skargę M. Z. prowadzącej działalność gospodarczą pod firmą […] (dalej: “skarżąca”) na decyzję Prezesa Urzędu Ochrony Danych Osobowych (dalej: “PUODO”) z 5 stycznia 2021 r. nr DKE.561.11.2020.MM.106493 w przedmiocie nałożenia administracyjnej kary pieniężnej.

W uzasadnieniu wyroku Sąd I instancji przyjął następujące okoliczności faktyczne i prawne.

W dniu 11 lipca 2019 r. do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych złożone przez M. Z., przedsiębiorcę prowadzącego działalność gospodarczą pod firmą “[…]” we […]. W treści zgłoszenia strona skarżąca poinformowała, że naruszenie polegało na nieuprawnionym skopiowaniu 1 kwietnia 2019 r. danych osobowych stu pacjentów z systemu ([…]) przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług. Strona skarżąca wskazała, że naruszenie dotyczyło następujących kategorii danych osobowych pacjentów: numeru PESEL, imion i nazwisk, imion rodziców, daty urodzenia, adresu zamieszkania lub pobytu oraz numeru telefonu. Strona skarżąca podniosła, że zrezygnowała z zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, pomimo, że oceniła ryzyko naruszenia praw i wolności osób fizycznych na wysokie.

W związku z powyższym, PUODO wystąpieniem z 27 sierpnia 2019 r. skierowanym do skarżącej, działając na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (t. j. Dz. U. z 2019 r., poz. 1781, dalej: “u.o.d.o.”) oraz art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z dnia 4 maja 2016 r. – dalej: “RODO”), wezwał skarżącą do niezwłocznego zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz przekazania tym osobom zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. Jednocześnie, organ nadzorczy wskazał stronie skarżącej przykładowe ryzyka związane z tego rodzaju naruszeniem oraz przykładowe zalecenia co do środków, jakie osoby dotknięte naruszeniem mogą podjąć celem zabezpieczenia się przed negatywnymi skutkami naruszenia.

W związku z brakiem reakcji strony skarżącej na wystąpienie organu nadzorczego z 27 sierpnia 2019 r., PUODO wszczął postępowanie administracyjne w sprawie niezawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.

W wyniku analizy zgromadzonego materiału dowodowego, PUODO – działając na podstawie art. 58 ust. 2 lit. e RODO – decyzją administracyjną z 26 lutego 2020 r., nr ZWAD.405.2959.2019.TCz.68126, nakazał stronie skarżącej zawiadomienie osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna – o naruszeniu ochrony danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:

a) opisu charakteru naruszenia danych osobowych,

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych,

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.

Powyższa decyzja stała się prawomocna z dniem 2 kwietnia 2020 r.

Następnie, działając w celu sprawdzenia, czy nałożone powyższą decyzją z 26 lutego 2020 r. obowiązki zostały wykonane przez stronę skarżącą, organ nadzorczy wszczął postępowanie sprawdzające.

Pismem z 8 maja 2020 r. organ nadzorczy wezwał stronę skarżącą do złożenia wyjaśnień i przedstawienia wykazu osób, którym przekazano informacje, o których mowa w nakazie zawartym w decyzji, a także informacji o sposobie ich przekazania oraz dowodów na ich przekazanie (kopii dziesięciu przykładowych zawiadomień wraz z potwierdzeniem ich nadania). Organ nadzorczy pouczył jednocześnie stronę skarżącą, że stwierdzenie nieprzestrzegania nakazu nałożonego przez ten organ skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 RODO.

W odpowiedzi na powyższe pismo PUODO, strona skarżąca nie przesłała żądanych kopii powiadomień, a jedynie pismem, które wpłynęło do urzędu 20 maja 2020 r., poinformowała organ nadzorczy, że “Niestety mimo naszych chęci, nie byliśmy w stanie takiej listy stworzyć, gdyż nie wiemy których pacjentów dane zebrał lekarz, o którym mowa w zawiadomieniu złożonym przez […]. Obecnie w naszych placówkach leczy się ponad 35 tys. osób i powiadomienie wszystkich o możliwości naruszenia ich danych osobowych jest a wykonalne”.

W dniu 1 czerwca 2020 r. organ nadzorczy skierował do strony skarżącej upomnienie, o którym mowa w art. 15 § 1 ustawy z dna 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t. j. Dz. U. z 2020 r., poz. 1427 ze zm.), zawierające wezwanie strony skarżącej do wykonania nakazu zwartego w decyzji administracyjnej – w terminie 7 dni od dnia otrzymania wezwania – oraz do udokumentowania wykonania tego nakazu poprzez przedstawienie dowodów w postaci wykazu osób, które zostały zawiadomione w związku z naruszeniem ochrony ich danych osobowych, zawierającego informację, w jaki sposób zawiadomienie zostało przesłane, a także kopii wybranych dziesięciu pism wraz z potwierdzeniami nadania.

Tego samego dnia pełnomocnik strony skarżącej został również telefonicznie poinformowany przez pracownika urzędu o obowiązku wykonania nakazu decyzji PUODO i przedstawienia dowodów na jego wykonanie.

Pismem, które wpłynęło do Urzędu Ochrony Danych Osobowych 18 czerwca 2020 r., strona skarżąca przedstawiła kopie dziesięciu przesłanych listem poleconym w dniu 10 czerwca 2020 r. zawiadomień o treści cyt. “Informujemy, że w roku 2019 mogło dojść do naruszenia Pani/Pana danych osobowych (imię, nazwisko, nr telefonu) przez jednego z naszych lekarzy ([…]). Jednocześnie informujemy, że ta osoba w naszej klinice już nie pracuje i toczy się przeciwko niemu postępowanie wyjaśniające. W razie pytań prosimy o kontakt z administratorem RODO w naszej placówce: […]@gmail.com”.

W związku z powyższym, organ nadzorczy wskazał, że przedstawione kopie zawiadomień nie zawierały wszystkich informacji, do udzielenia których zobowiązana została strona skarżąca nakazem zawartym w decyzji PUODO, tj. nie zawierały informacji dotyczących opisu charakteru naruszenia, opisu możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.

W tej sytuacji, pismem z 17 lipca 2020 r. PUODO ponownie wezwał stronę skarżącą do uzupełnienia wyjaśnień oraz przedstawienia dowodów dokumentujących wykonanie decyzji.

W odpowiedzi na ponowne wezwanie do złożenia wyjaśnień skarżąca wyjaśniła w wiadomości e-mail z 28 lipca 2020 r., że punkty zawierające informacje, których żądał organ nadzorczy w wezwaniu zostały spełnione. Skarżąca podniosła ponadto, że wskazał, iż w razie pytań prosi o kontakt z administratorem RODO w placówce prowadzonej przez skarżącą. Jednocześnie stwierdziła, że nie da się tego punktu wyjaśnić, a ponadto wystarczy, że administrator danych wymienił, jakie dane zostały naruszone. Skarżąca poinformowała także, iż osoba, która naruszyła dane osobowe już nie pracuje w naszej klinice, a także wskazała, że toczy się przeciwko niej postępowanie wyjaśniające. W związku z powyższym, skarżąca stwierdziła, że – w jej ocenie – nie ma już podstaw do ponownego wysyłania zawiadomień do pacjentów.

Organ nadzorczy uznał jednak, że złożone przez skarżącą powyższe wyjaśnienia oraz przedstawione przez nią dowody dają podstawę do stwierdzenia, iż strona skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej Prezesa UODO z 26 lutego 2020 r.

W związku z powyższym, pismem z 16 września 2020 r. PUODO wszczął z urzędu postępowanie administracyjne w przedmiocie nałożenia na skarżącą administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 lit. e w związku z art. 34 ust. 1 i 2 RODO. Jednocześnie, skarżąca została wezwana przez organ nadzorczy do przedstawienia danych finansowych w postaci sprawozdania finansowego, a w razie jego braku – oświadczenia o wysokości obrotu i wyniku finansowego za 2019 r., celem ustalenia podstawy wymiaru administracyjnej kary pieniężnej. W treści przedmiotowego pisma organ nadzorczy poinformował także stronę skarżącą, że jeżeli skarżąca przedstawi dowody na wykonanie w całości nakazu zawartego w decyzji PUODO, okoliczność ta może wpłynąć łagodząco na wymiar administracyjnej kary pieniężnej orzeczonej w niniejszym postępowaniu lub też może spowodować odstąpienie od jej nałożenia.

W odpowiedzi na powyższe pismo organu nadzorczego z 16 września 2020 r., skarżąca w wiadomości e-mail z 24 września 2020 r. zobowiązała się do ponownego powiadomienia pacjentów, których naruszenie dotyczyło.

W dniu 25 września 2020 r. skarżąca skontaktowała się telefonicznie z Urzędem Ochrony Danych Osobowych, prosząc o listę przedstawionych przez siebie wcześniej w piśmie z 10 czerwca 2020 r. dziesięciu zawiadomień.

Odnosząc się do powyższego, organ nadzorczy poinformował skarżącą, że w związku z obecnie prowadzonym wobec strony skarżącej postępowaniem w przedmiocie nałożenia administracyjnej kary pieniężnej za nieprzestrzeganie nakazu orzeczonego przez PUODO, skarżąca zobowiązana jest przedstawić kompletne zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych oraz listę wszystkich osób, których dotyczyło naruszenie wraz z potwierdzeniami wysłania zawiadomień, celem udokumentowania obowiązku wynikającego z nakazu zawartego w decyzji.

W dniu 28 września 2020 r. skarżąca w wiadomości e-mail przesłała do Urzędu Ochrony Danych Osobowych przykładowe zawiadomienie, celem uzgodnienia jego treści z organem nadzorczym, a następnie przesłania osobom, których dotyczyło naruszenie ochrony danych osobowych.

W związku z powyższym, pracownik UODO skontaktował się ze skarżąca e-mailem 30 września 2020 r., a następnie telefonicznie 20 października 2020 r., wyjaśniając stronie skarżącej, że przedstawiony przez nią projekt zawiadomienia jest niekompletny. Jednocześnie, strona skarżąca została poinformowana, że zawiadomienie powinno wskazywać pełny (zgodny ze zgłoszeniem z 11 lipca 2019 r.) zakres danych osobowych ujawnionych w wyniku naruszenia, a także powinno zawierać opis możliwych konsekwencji naruszenia ochrony danych osobowych i kroków zaradczych podjętych przez administratora. Ponadto, organ nadzorczy pouczył skarżącą, że przykłady możliwych konsekwencji i kroków zaradczych zostały wskazane skarżącej w treści decyzji z 26 lutego 2020 r.

Pismem, które wpłynęło do Urzędu Ochrony Danych Osobowych 2 listopada 2020 r., skarżąca oświadczyła, iż: “Informuję, że zgodnie z wezwaniem przesłanym przez Departament Kar i Egzekucji Urzędu Ochrony Danych Osobowych, powiadomiliśmy łącznie 37 osób (poszkodowanych). Tyle osób ostatecznie wynikało z przeprowadzonej przez nasz dział informatyczny analizy logowań i informacji, które widział Pan D. B. Jednocześnie informuję, że są to wszystkie osoby poszkodowane w tej sprawie”.

W załączonej do pisma liście osób, którym skarżąca przesłała zawiadomienia o naruszeniu ich danych osobowych, wskazano trzydzieści siedem pozycji, przy czym dwie pozycje z listy powtórzyły się. Ponadto, do pisma skarżąca załączyła: kopię wystawionej przez Pocztę Polską S.A. na rzecz skarżącej faktury VAT nr […] z 29 października 2020 r. dokumentującej zakup trzydziestu siedmiu znaczków pocztowych o wartości 3,30 zł każdy, kopię oświadczenia z 29 października 2020 r. o treści “Potwierdzamy nadanie przez Pana […] listów zwykłych w ilości 37 sztuk” opatrzonego nieczytelnym podpisem i pieczęcią o treści “[…]” oraz kopię niezaadresowanego przykładowego zawiadomienia.

Ustosunkowując się do powyższego pisma strony skarżącej Prezes UODO w piśmie z 19 listopada 2020 r. skierował do skarżącej wezwanie do uzupełnienia dowodów, wskazując w uzasadnieniu, że przesłane przez nią wyjaśnienia oraz dowody są niekompletne i nie dają podstawy do stwierdzenia, że strona skarżąca istotnie powiadomiła osoby, których dane dotyczą, zgodnie z nakazem zawartym w decyzji administracyjnej PUODO z 26 lutego 2020 r. W konsekwencji, skarżąca wezwana została przez organ nadzorczy do uzupełnienia dowodów wykonania nakazu zawartego w decyzji, tj. do przesłania poprawnego wykazu 6 osób, którym zostały przesłane zawiadomienia oraz kopii wszystkich zaadresowanych zawiadomień wraz z potwierdzeniem nadania przesyłek poleconych lub zwrotnych potwierdzeń odbioru – w terminie 7 dni od dnia doręczenia niniejszego pisma.

W odpowiedzi na powyższe wezwanie organu nadzorczego, strona skarżąca w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych 1 grudnia 2020 r., poinformowała organ nadzorczy, że nie ma obowiązku wysłania listów poleconych i wystarczające jest, jeśli skarżąca wyśle stosowne zawiadomienia listem zwykłym, potwierdzając ich wysyłkę. Mając to na względzie, strona skarżąca uznała tym samym, że wykonała stosowny nakaz, potwierdzając to fakturą i zaświadczeniem pisemnym uzyskanym od pracownika poczty. Ponadto, strona skarżąca stwierdziła, że ilość zawiadomień jest poprawna, zaś powtórki pacjentów nie są przypadkowe, albowiem są one wynikiem tego, że dani pacjenci byli na wizycie dwukrotnie.

W wyniku analizy zgromadzonego materiału dowodowego, PUODO, działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (t. j. Dz. U. z 2020 r., poz. 256 ze zm. – dalej: “k.p.a.”) oraz art. 7 ust. 1 i 2, art. 60, art. 101, art. 101a i art. 103 u.o.d.o., a także art. 57 ust. 1 lit. a, art. 83 ust. 1-2 i ust. 6 w zw. z art. 58 ust. 2 lit. e oraz lit. i RODO, wydał 5 stycznia 2021 r. decyzję, na podstawie której stwierdzając niewykonanie przez stronę skarżącą nakazu określonego w decyzji administracyjnej PUODO z 26 lutego 2020 r., nr ZWAD.405.2959.2019.TCz.68126, nałożył na stronę skarżącą administracyjną karę pieniężną w kwocie 85.588,00 złotych.

W uzasadnieniu decyzji PUODO zauważył na wstępie, że w świetle art. 57 ust. 1 RODO, każdy organ nadzorczy m.in. monitoruje i egzekwuje stosowanie rozporządzenia (art. 57 ust. 1 lit. a) oraz prowadzi postępowania w sprawie jego stosowania (art. 57 ust. 1 lit. h). Organ nadzorczy wskazał, że instrumentami realizacji zadań, o których mowa w art. 57 ust. 1 RODO, są uprawnienia naprawcze przyznane mocą art. 58 ust. 2 RODO, w tym w szczególności uprawnienie do nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 58 ust. 2 lit. e), a także uprawnienie do zastosowania, oprócz lub zamiast innych środków, o których mowa w art. 58 ust. 2, administracyjnej kary pieniężnej na mocy art. 83 cyt. rozporządzenia (art. 58 ust. 2 lit. i).

PUODO podniósł, że zgodnie z art. 83 ust. 6 RODO, nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 RODO podlega administracyjnej karze pieniężnej w wysokości do 20.000.000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Mając na względzie ustalony w sprawie stan faktyczny, PUODO stwierdził, że skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej PUODO z 26 lutego 2020 r., nr ZWAD.405.2959.2019.TCz.68126.

PUODO zauważył, że prawomocną decyzją administracyjną z 26 lutego 2020 r. skarżąca zobowiązana została do zawiadomienia osób, których dane dotyczą – w terminie trzech dni od dnia, w którym decyzja stanie się ostateczna – o naruszeniu ich danych osobowych, które miało miejsce 1 kwietnia 2019 r., w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 RODO:

a) opisu charakteru naruszenia danych osobowych,

b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych osobowych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji,

c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych,

d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków.

PUODO wskazał w przedmiotowej decyzji administracyjnej, że właściwe wywiązanie się z obowiązku określonego w art. 34 RODO ma zapewnić osobom, których dane dotyczą, informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

PUODO uznał, że skarżąca nie udowodniła – ani w trakcie postępowania sprawdzającego wykonanie decyzji, ani w trakcie niniejszego postępowania w przedmiocie nałożenia na skarżącą administracyjnej kary pieniężnej – wykonania skierowanego do niego nakazu zawartego w decyzji administracyjnej z 26 lutego 2020r.

Podkreślił, że zgodnie ze sformułowaną w art. 5 ust. 2 RODO zasadą rozliczalności, administrator danych jest odpowiedzialny za przestrzeganie przepisu art. 5 ust. 1 (w tym m.in. tzw. zasady legalności) i musi być w stanie wykazać ich przestrzeganie. Organ nadzorczy wskazał, że zastosowanie zasady rozliczalności w niniejszej sprawie oznacza, że strona skarżąca zobowiązana jest, w szczególności w postępowaniu przed PUODO, udowodnić wykonanie nakazu zawartego w decyzji, które to wykonanie byłoby równoznaczne z przywróceniem przetwarzania przez nią danych osobowych do stanu zgodnego z prawem.

PUODO uznał, że w niniejszej sprawie skarżąca nie przedstawiła dowodów na wykonanie obowiązku, o którym mowa w art. 34 ust. 1 i 2 RODO.

PUODO stwierdził bowiem, że skarżąca udowodniła jedynie, przedstawiając kopię pocztowej książki nadawczej, skierowanie 10 czerwca 2020 r. zawiadomień o naruszeniu ochrony danych osobowych do dziesięciu osób. Tymczasem, według organu nadzorczego, uznać należy, że treść tych zawiadomień bezsprzecznie nie odpowiada wymogom przewidzianym w art. 34 ust. 2 RODO. Ponadto, według organu nadzorczego, liczba owych zawiadomień jest niewielka w stosunku do wskazanej w zgłoszeniu z 11 lipca 2019 r. liczby stu osób, których dane naruszono (czy też liczby trzydziestu siedmiu osób wskazanej przez skarżącą – po sprawdzeniu – w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych 2 listopada 2020 r.). W konsekwencji, organ nadzorczy zarzucił, że działania tego w żaden sposób nie można uznać za wykonanie nakazu wyrażonego we wspomnianej wyżej decyzji PUODO.

Jednocześnie, organ nadzorczy uznał, że dokumenty przedstawione przez skarżącą, jako dowód skierowania 28 lub 29 października 2020 r. zawiadomień do trzydziestu siedmiu osób, nie wskazują jednoznacznie, że takie zawiadomienia rzeczywiści zostały skierowane do osób, których dane naruszono. Zdaniem organu nadzorczego, świadczą o tym następujące okoliczności:

a) faktura VAT nr […] z 29 października 2020 r. dokumentuje jedynie zakup trzydziestu siedmiu znaczków pocztowych a nie wykonanie usługi pocztowej (doręczenie przesyłki pocztowej);

b) brak jest pewności, że oświadczenie o treści “Potwierdzamy nadanie przez Pana […][…] listów zwykłych w ilości 37 sztuk” pochodzi od operatora pocztowego (brak jest wskazania firmy operatora lub jakiegokolwiek innego jego oznaczenia); oświadczenie to jest ponadto nieweryfikowalne i w związku z tym niewiarygodne – ze względu na nieczytelny podpis nie można bowiem zidentyfikować osoby składającej to oświadczenie;

c) nawet, gdyby powyższe oświadczenie potwierdzało fakt wysłania przez stronę skarżącą trzydziestu siedmiu listów zwykłych (co jak wskazano wyżej nie zachodzi), to z całą pewnością nie można w oparciu o nie (nawet biorąc pod uwagę również fakturę dokumentującą zakup znaczków pocztowych) stwierdzić, że były to zawiadomienia, o których mowa w nakazie zawartym w decyzji PUODO, oraz, że zawierały treść zgodną z przedstawionym przez skarżącą przykładowym (niezaadresowanym) zawiadomieniem, a ostatecznie że zostały skierowane do osób dotkniętych naruszeniem (wymienionym w sporządzonym przez skarżącą wykazie).

Mając na względzie powyższe, PUODO stwierdził, że brak jest podstaw do uznania, że skarżąca, jako administrator danych, wywiązała się z ciążącego na niej – na mocy art. 34 ust 1 i 2 RODO – obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, będącym przedmiotem zgłoszenia z 11 lipca 2019 r., i tym samym nie sposób uznać, by wykonała ona nakaz zawarty w decyzji administracyjnej organu nadzorczego z 26 lutego 2020 r., sygn. ZWAD.405.2959.2019.TCz.68126. Jednocześnie, PUODO uznał, że stan nieprzestrzegania nakazu orzeczonego przez organ nadzorczy jest aktualny na dzień wydania niniejszej decyzji.

PUODO wskazał także, że stan naruszenia przepisów RODO stanowiącego przedmiot niniejszego postępowania, polegający na nieprzestrzeganiu nakazu orzeczonego przez organ nadzorczy, trwa od 6 marca 2020 r., to jest od dnia następującego po dniu, w którym upłynął wyznaczony w decyzji termin na jego wykonanie. Jednocześnie, PUODO uznał, że stan naruszenia przepisów RODO, którego usunięciu służyć miał nakaz zawarty w decyzji, a który polegał na niepoinformowaniu o naruszeniu osób, których to naruszenie dotyczyło, jest zdecydowanie dłuższy, albowiem trwa co najmniej od lipca 2019 r., kiedy to skarżąca dokonała zgłoszenia naruszenia ochrony danych osobowych.

Organ nadzorczy stwierdził, że strona skarżąca – pomimo prawidłowego doręczenia jej decyzji nakładającej nakaz – w żaden sposób nie próbowała wykonać wspomnianego nakazu, a jakiekolwiek działania podjęła dopiero na skutek interwencji PUODO, a działania owe – w ocenie organu nadzorczego – były opieszałe i nieskuteczne, co zwiększyło ryzyko wystąpienia po stronie osób dotkniętych naruszeniem dodatkowych szkód.

PUODO podkreślił, że zarówno w trakcie postępowania sprawdzającego wykonanie decyzji nakładającej nakaz, jak i w trakcie niniejszego postępowania w przedmiocie nałożenia na skarżącą administracyjnej kary pieniężnej, pracownik Urzędu Ochrony Danych Osobowych udzielił stronie skarżącej szeregu wskazówek dotyczących wykonania nakazu, w szczególności dotyczących prawidłowego sformułowania zawiadomień i formy ich przekazania osobom zainteresowanym, a także sposobu udokumentowania tych czynności przed organem nadzorczym.

W tej sytuacji, jak stwierdził organ nadzorczy, niezastosowanie się przez skarżącą do tych wskazówek, a wręcz ich ignorowanie, świadczy o rażącym lekceważeniu przez stronę skarżącą obowiązków związanych z ochroną danych osobowych.

W konsekwencji, PUODO uznał, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na skarżącą – na podstawie art. 83 ust. 6 RODO – administracyjnej kary pieniężnej w związku z nieprzestrzeganiem nakazu orzeczonego na podstawie art. 58 ust. 2 lit. e RODO.

PUODO wskazał, że decydując o nałożeniu w niniejszej sprawie na skarżącą administracyjnej kary pieniężnej oraz ustalając jej wysokość, wziął pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania (art. 83 ust. 2 lit. a RODO) – organ nadzorczy podniósł, że oceniając tą okoliczność miał na względzie lekceważenie przez skarżącą orzeczonego wobec niej nakazu, będącego w istocie skonkretyzowaniem obowiązku przewidzianego przepisami RODO, co oznacza w istocie lekceważenie przepisów o ochronie danych osobowych i roli PUODO w systemie ochrony danych osobowych określonym przepisami RODO; PUODO stwierdził, że takie postępowanie skarżącej, jako przedsiębiorcy będącego podmiotem profesjonalnie i na dużą skalę przetwarzającego dane osobowe pacjentów (w tym dane dotyczące zdrowia, a więc dane podlegające szczególnej ochronie na mocy art. 9 RODO) uznać należy za mające dużą wagę i za szczególnie naganne; organ nadzorczy wskazał jednocześnie, że wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez skarżącą naruszenie nie było zdarzeniem jednorazowym i incydentalnym, lecz działaniem mającym w niniejszej sprawie charakter ciągły i długotrwały; organ nadzorczy uznał, że tak długi czas trwania naruszenia sprzeczny jest z ratio legis przepisu art. 34 RODO zakładającego, że dla zminimalizowania ryzyka powstania szkód po stronie osób dotkniętych naruszeniem, zawiadomienie o naruszeniu ich danych osobowych powinno nastąpić jak najszybciej (“bez zbędnej zwłoki”, jak stanowi art. 34 ust. 1 RODO); organ nadzorczy zauważył w tym miejscu, że wagę naruszenia przez administratora tego obowiązku podkreślono m.in. w Wytycznych WP 253 Grupy Roboczej Art. 29 z dnia 3 października 2017 r. w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów Rozporządzenia 2016/679 (https://uodo.gov.pl/pl/10/13), zgodnie z którymi “administrator/podmiot przetwarzający, który wykazał się niedbałością, gdyż nie dopełnił obowiązku powiadomienia lub co najmniej nie powiadomił o wszystkich szczegółach naruszenia wskutek niepoprawnej oceny rozmiaru naruszenia, może według organu nadzorczego zasłużyć na poważniejszą sankcję – innymi słowy jest mało prawdopodobne, by takie naruszenie zostało uznane za niewielkie”;

b) umyślny charakter naruszenia (art. 83 ust. 2 lit. b RODO) – wskazując, że umyślne naruszenia są poważniejsze niż te nieumyślne, a w konsekwencji częściej wiążą się z nałożeniem administracyjnej kary pieniężnej; organ nadzorczy zauważył, że strona skarżąca w toku postępowania ignorowała zalecenia organu nadzorczego co do poprawnego wykonania ciążącego na niej obowiązku, co wskazuje na celowe nieprzestrzeganie nakazu; PUODO podkreślił jednocześnie, że na żadnym etapie postępowania skarżąca nie przedstawiła kompletnych dowodów na wykonanie nakazu zawartego w decyzji;

c) niezadowalający stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f RODO) – organ nadzorczy stwierdził, że dokonując oceny współpracy skarżącej z PUODO w toku całej sprawy zainicjowanej zgłoszeniem przez nią w dniu 11 lipca 2019 r. naruszenia ochrony danych osobowych – uznał, że jeszcze przed zaistnieniem naruszenia, to jest przed datą 6 marca 2020 r. (datą upływu terminu wykonania nakazu wyrażonego w decyzji z dnia 26 lutego 2020 r.) strona skarżąca zlekceważyła całkowicie zastosowane wobec niej środki, a więc zarówno wystąpienie PUODO z 27 sierpnia 2019 r., jak i samą decyzję PUODO z 26 lutego 2020 r.; organ nadzorczy zauważył, że pomimo prawidłowego doręczenia skarżącej obu dokumentów, nie podjęła ona żadnych działań celem ich wykonania; organ nadzorczy podniósł, że dopiero po wszczęciu postępowania sprawdzającego wykonanie decyzji, jak również w trakcie niniejszego postępowania w przedmiocie nałożenia na stronę skarżącą administracyjnej kary pieniężnej, skarżąca nawiązała korespondencję z organem nadzorczym oraz podjęła pewne działania w celu wykonania nakazu zawartego w decyzji.

Ponadto, organ nadzorczy stwierdził, że pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 RODO nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez PUODO ocenę naruszenia (w tym miejscu organ nadzorczy wymienił: stopień odpowiedzialności administratora z uwzględnieniem wdrożonych środków technicznych i organizacyjnych, wszelkie wcześniejsze naruszenia ze strony administratora, kategorie danych osobowych, których dotyczyło naruszenie, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 RODO, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji, osiągnięte w związku z naruszeniem korzyści finansowe lub uniknięte straty).

PUODO podniósł, że stosownie do brzmienia art. 83 ust. 1 RODO, nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Mając powyższe na względzie, organ nadzorczy uznał, że kara nałożona w niniejszym postępowaniu na stronę skarżącą spełnia te kryteria. PUODO stwierdził bowiem, że nałożona niniejszą decyzją kara jest proporcjonalna do dużej wagi i nagannego charakteru stwierdzonego naruszenia. Kara ta spełni ponadto, jak uznał organ nadzorczy, funkcję odstraszającą, a także będzie jasnym sygnałem zarówno dla strony skarżącej, jak i dla innych adresatów decyzji PUODO, że nieprzestrzeganie orzeczonego przez niego nakazu stanowi odrębne (niezależne od naruszenia, którego usunięcie leżało u podstaw orzeczonego nakazu) naruszenie i to naruszenie o znacznej wadze.

W tym miejscu, organ nadzorczy wskazał, że nałożenie na stronę skarżącą administracyjnej kary pieniężnej jest środkiem, który zapewni przestrzeganie nakazu orzeczonego wobec niej w drodze decyzji z 26 lutego 2020 r.

PUODO zauważył jednocześnie, że wobec nieprzedstawienia przez stronę skarżącą żądanych przez organ nadzorczy danych finansowych za rok 2019, ustalając wysokość administracyjnej kary pieniężnej w niniejszej sprawie wzięto pod uwagę szacunkową wielkość przedsiębiorstwa strony skarżącej oraz specyfikę, zakres i skalę jej działalności. Organ nadzorczy wskazał, że w trakcie postępowania ustalił, iż skarżąca prowadzi działalność gospodarczą na dużą skalę w sektorze usług generującym niewątpliwie duże przychody i zyski, to jest w ochronie zdrowia. PUODO zauważył, że z informacji przedstawionych na stronie internetowej strony skarżącej (http://ortodent.wroc.pl/kontakt/) wynika, że prowadzi ona co najmniej trzy placówki medyczne. Organ nadzorczy wskazał ponadto, że dużą skalę działalności skarżącej potwierdził również sam pełnomocnik strony skarżącej w piśmie, które wpłynęło do Urzędu Ochrony Danych Osobowych 20 maja 2020 r., w którym stwierdził on, że obecnie w placówkach skarżącej leczy się ponad 35 tys. osób.

Mając powyższe na względzie, Prezes UODO stwierdził, że orzeczona w niniejszej sprawie administracyjna kara pieniężna nie będzie wiązać się z nadmiernym uszczerbkiem dla prowadzonej przez skarżącą działalności.

W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie skarżąca wniosła o uchylenie zaskarżonej decyzji w całości oraz umorzenie postępowania jako bezprzedmiotowego, ewentualnie o odstąpienie od nałożenia administracyjnej kary pieniężnej i poprzestanie na pouczeniu, z uwagi na przedstawienie przez stronę skarżącą dowodów potwierdzających wykonanie przez nią nakazu orzeczonego przez organ nadzorczy, skarżąca zarzucił organowi nadzorczemu:

I. naruszenie przepisów postępowania, mające istotny wpływ na wynik postępowania, w szczególności naruszenie art. 7 k.p.a. i art. 77 k.p.a., art. 79a § 2 k.p.a., art. 80 k.p.a. w zw. z art. art. 86 k.p.a. w zw. z art. 10 k.p.a. oraz art. 107 § 3 k.p.a. – poprzez:

– zaniechanie dokonania należytego wyjaśnienia stanu faktycznego sprawy i pobieżne przeprowadzenie postępowania dowodowego w sprawie, bez wyjaśnienia przyczyn takiego postępowania, czego wynikiem jest zgromadzenie niepełnego materiału dowodowego i przeprowadzenie jego dowolnej i subiektywnej oceny;

– brak podjęcia z urzędu przez organ nadzorczy czynności niezbędnych do wyjaśnienia stanu faktycznego oraz załatwienia sprawy, mając na względzie interes społeczny i słuszny interes obywateli, a w szczególności czynności zawiadomienia osób potencjalnie pokrzywdzonych naruszeniem ich danych osobowych, pomimo posiadania przez organ wszelkich danych umożliwiających z urzędu podjęcie takich czynności;

– brak wyjaśnienia wątpliwości co do stopnia ryzyka naruszenia praw i wolności osób fizycznych, których naruszenie dotyczyło i przyjęcie, że stopień tego ryzyka był wysoki, pomimo informacji zamieszonej przez skarżącą w pkt. 10 “Zgłoszenia naruszenia ochrony danych osobowych” z dnia 11 lipca 2019 r. , iż przedsiębiorca zrezygnował z zawiadomienia w/w osób z uwagi na brak wysokiego ryzyka naruszenia ich praw i wolności, a w konsekwencji braku wyjaśnienia tej rozbieżności – nałożenie na przedsiębiorcę dalszych obowiązków podjęcia przez niego czynności, z założeniem wysokiego stopnia ryzyka naruszenia;

– zaniechanie przesłuchania strony skarżącej, pomimo istniejących wątpliwości w sprawie i niewyjaśnionych faktów istotnych dla rozstrzygnięcia, w tym zakresu osób podlegających zawiadomieniu o naruszeniu;

– niewyjaśnienie przyczyn przyjęcia maksymalnej wysokości nałożonej kary administracyjnej oraz nieprecyzyjne wskazanie w uzasadnieniu faktycznym spornej decyzji faktów, które organ uznał za udowodnione, dowodów, na których się oparł, a także przyczyn, z powodu których innym dowodom odmówił wiarygodności i mocy dowodowej;

II. naruszenie zasady postępowania zawartej w przepisie art. 7 k.p.a. w zw. z art. 83 RODO – poprzez naruszenie granic uznania administracyjnego w wyniku nałożenia maksymalnej kary pieniężnej w wysokości niewspółmiernej do okoliczności sprawy i wagi naruszenia;

III. poczynienie wadliwych ustaleń faktycznych w sprawie – polegających na przyjęciu, że strona skarżąca nieprawidłowo wykonała nakaz zawarty w decyzji administracyjnej PUODO z 26 lutego 2020 r., podczas gdy w istocie nakaz ten został prawidłowo wykonany, o czym organ nadzorczy został przez przedsiębiorcę pisemnie powiadomiony.

Ponadto, strona skarżąca – powołując się na art. 106 P.p.s.a. – wniosła o dopuszczenie i przeprowadzenie dowodów z następujących dokumentów:

– pisma z 15 stycznia 2021 r. skierowanego do PUODO wraz z potwierdzeniem nadania tego pisma,

– załączników do pisma z 15 stycznia 2021 r. skierowanego do PUODO, w tym 37 “Zawiadomień o naruszeniu RODO” wraz z dowodami ich nadania,

– potwierdzeń odbioru w/w pism,

– umowy o świadczenie usług z 18 stycznia 2021 r. zawartej z W. L., prowadzącym działalność gospodarczą pod nazwą Ochrona Danych Osobowych W. L., pełniącym funkcję Inspektora Ochrony Danych Osobowych (IOD) w przedsiębiorstwie skarżącej, celem wykazania prawidłowego wykonania nakazu zawartego w decyzji administracyjnej PUODO z 26 lutego 2020 r., a także działań podjętych przez skarżącą, mających zapobiec wystąpieniu naruszeń w przyszłości, a w konsekwencji w celu wykazania bezprzedmiotowości spornego postępowania.

W uzasadnieniu skargi skarżąca rozwinęła powyższe zarzuty.

W odpowiedzi na skargę PUODO wniósł o jej oddalenie, podtrzymując swoje dotychczasowe stanowisko wyrażone w uzasadnieniu zaskarżonej decyzji.

Jednocześnie, organ nadzorczy wniósł o nieuwzględnienie wniosków dowodowych zgłoszonych przez stronę skarżącą w treści skargi, ze względu na brak jakiegokolwiek związku wskazanych przez skarżącą dokumentów z przedmiotem sprawy (wykonaniem nakazu PUODO, który polegał na zawiadomieniu osób, których dane dotyczą, o naruszeniu ich danych osobowych), a także ze względu na brak znaczenia tych dowodów dla ustalenia stanu faktycznego sprawy na dzień wydania zaskarżonej decyzji, tj. na dzień 5 stycznia 2021 r.

Powołanym na wstępie wyrokiem Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (Dz.U. z 2024 r., poz. 935 ze zm., dalej: “p.p.s.a.”).

Sąd I instancji uznał, że PUODO, nakładając na skarżąca administracyjną karę pieniężną w wysokości 85.588 złotych, nie naruszył obowiązujących przepisów, albowiem prawidłowo przyjął, że w niniejszej sprawie skarżąca, jako administrator danych, nie wykonała nakazu nałożonego na nią decyzją administracyjną PUODO z 26 lutego 2020 r.

Sąd stwierdził, że PUODO zasadnie przyjął w uzasadnieniu zaskarżonej decyzji z 5 stycznia 2021 r., że na dzień jej wydania brak jest podstaw do uznania, iż skarżąca, jako administrator danych, wywiązała się z ciążącego na niej – na mocy art. 34 ust 1 i 2 RODO – obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, będącym przedmiotem zgłoszenia z 11 lipca 2019 r. Tym samym, PUODO prawidłowo uznał, że skarżąca nie wykonała nakazu zawartego w decyzji administracyjnej PUODO z 26 lutego 2020 r.

Sąd nie zgodził się przede wszystkim z postawionym przez skarżącą zarzutem zaniechania przez organ nadzorczy dokonania należytego wyjaśnienia stanu faktycznego sprawy i jednocześnie pobieżnego przeprowadzenia postępowania dowodowego w sprawie i tym samym zgromadzenia niepełnego materiału dowodowego i przeprowadzenia jego dowolnej i subiektywnej oceny.

Zdaniem Sądu, skoro decyzja z 26 lutego 2020 r. nakładająca na skarżącą, jako administratora danych, stosowny nakaz stała się z uwagi na brak jej zaskarżenia do sądu administracyjnego prawomocna, to organ nadzorczy miał pełne prawo – działając w celu sprawdzenia, czy nałożone obowiązki zostały wykonane przez skarżącą – wszcząć stosowne postępowanie sprawdzające, pouczając jednocześnie skarżącą, że stwierdzenie nieprzestrzegania nakazu nałożonego przez ten organ skutkować może nałożeniem na nią administracyjnej kary pieniężnej, zgodnie z art. 83 ust. 6 RODO.

W ocenie Sądu, zebrany w sprawie materiał dowodowy jest wyczerpujący i został poddany przez organ nadzorczy wszechstronnemu i wnikliwemu rozpatrzeniu, w wyniku czego doszło do prawidłowego ustalenia stanu faktycznego sprawy.

Prezes UODO, przeprowadzając wspomniane postępowanie sprawdzające, dokonał wszelkich ocen, przy uwzględnieniu całokształtu zgromadzonego w sprawie materiału dowodowego oraz w kontekście odpowiednio zastosowanych przepisów prawa, w tym przede wszystkim przepisów RODO oraz u.o.d.o.

Sąd I instancji wyraźnie wskazał, że – wbrew sugestiom skarżącej – ustalając stan faktyczny sprawy, Prezes UODO zobowiązany był ustalić ów stan na dzień wydania zaskarżonej decyzji, albowiem nie mógł wziąć pod uwagę wyjaśnień i dowodów przedstawionych przez skarżącą w piśmie opatrzonym datą 15 stycznia 2021 r. (zawierającym załączniki w postaci 37 pism – “Zawiadomień o naruszeniu RODO” – wraz z potwierdzeniami ich nadania listami poleconymi 18 stycznia 2021 r.), a więc już po wydaniu zaskarżonej decyzji. Nie ulega wątpliwości, że pismo to złożone zostało do akt spraw po dacie wydania zaskarżonej decyzji, to jest po 5 stycznia 2021 r. Według Sądu, przyjąć należy w tej sytuacji, że przedstawienie przez skarżącą pełnych i wyczerpujących dowodów wykonania przez nią nakazu było dopiero efektem doręczenia jej zaskarżonej decyzji nakładającej administracyjną karę pieniężną.

Sąd podkreślił, że zgodnie z art. 34 ust. 1 RODO, to na administratorze danych ciąży obowiązek niezwłocznego zawiadomienia podmiotów danych o naruszeniu ochrony ich danych osobowych, które może powodować wysokie ryzyko naruszenia ich praw lub wolności. W tej sytuacji, za całkowicie bezpodstawne uznać należy sugestie skarżącej jakoby powyższe działania (czyli dokonanie przez PUODO – w zastępstwie skarżącej, jako administratora – skutecznego zawiadomienia o naruszeniu osób, których dane dotyczą) mieściły się w przysługujących organowi nadzorczemu, na podstawie RODO, instrumentach naprawczych, z których rzekomo – jak podniosła skarżąca – organ nadzorczy w sposób nieuprawniony nie skorzystał.

Sąd I instancji stwierdził, że PUODO skorzystał z właściwego i jedynego przysługującego mu w takich przypadkach środka (uprawnienia naprawczego), nakazując w drodze decyzji administracyjnej skarżącej, jako administratorowi danych osobowych osób dotkniętych naruszeniem, zawiadomienie tych osób o naruszeniu ochrony ich danych osobowych.

Sąd uznał ponadto, że całkowicie nieuprawniony w niniejszej sprawie jest zarzut braku wyjaśnienia przez PUODO wątpliwości co do stopnia ryzyka naruszenia praw i wolności osób fizycznych, których naruszenie dotyczyło, i przyjęcie, że stopień tego ryzyka był wysoki, pomimo informacji zamieszczonej przez skarżącą w zgłoszeniu z 11 września 2019 r., w której administrator danych poinformował organ nadzorczy, iż przedsiębiorca zrezygnował z zawiadomienia ww. osób z uwagi na brak wysokiego ryzyka naruszenia ich praw i wolności. Zdaniem Sądu, nie ulega wątpliwości, że sporna okoliczność (vide: ustalenie stopnia ryzyka związanego z naruszeniem ochrony danych osobowych) nie mogła być przedmiotem postępowania zakończonego wydaniem zaskarżonej decyzji z 5 stycznia 2021 r., albowiem jego przedmiotem było wyłącznie rozważenie podstaw do nałożenia administracyjnej kary pieniężnej w związku z nieprzestrzeganiem prawomocnego nakazu orzeczonego przez PUODO we wspomnianej wyżej decyzji z 26 lutego 2020 r. Sąd zwrócił uwagę, że wskazana okoliczność była wzięta pod uwagę w toku postępowania w przedmiocie zgłoszenia naruszenia ochrony danych osobowych, które zakończyło się prawomocną decyzją z 26 lutego 2020 r. W tej sytuacji, strona skarżąca, nie zaskarżając tej decyzji PUODO do Wojewódzkiego Sądu Administracyjnego w Warszawie, zaakceptowała dokonaną w niej przez organ nadzorczy ocenę ryzyka naruszenia praw i wolności osób dotkniętych naruszeniem. W konsekwencji Sąd uznał, że niedopuszczalnym jest więc podnoszenie tej okoliczności w niniejszym postępowaniu.

Skarżąca wywiodła skargę kasacyjną od powyższego wyroku zarzucając naruszenie:

I. przepisów postępowania, tj.:

1. art. 141 §4 p.p.s.a. polegające na tym, że WSA w Warszawie nie odniósł się do zarzutu skarżącej, poczynienia wadliwych ustaleń faktycznych w sprawie, polegających na przyjęciu, że przedsiębiorca nieprawidłowo wykonał nakaz decyzji administracyjnej PUODO z 26 lutego 2020 r. sygn. akt ZWAD.405.2959.219.TCz68126, podczas gdy w istocie nakaz ten został prawidłowo wykonany, o czym PUODO został przez przedsiębiorcę pisemnie powiadomiony,

2. art. 145 § 1 pkt 1 lit. “c” p.p.s.a. w zw. z art. 7 k.p.a. i art. 77 k.p.a. przez nieuchylenie zaskarżonej decyzji PUODO z 5 stycznia 2021 r. nr DKE.561.11.2020.MM. 106493, mimo że wydając tę decyzję organ ewidentnie nie podjął wszelkich czynności niezbędnych do wyjaśnienia stanu faktycznego, w tym przede wszystkim nie przesłuchał świadka M. K. oraz strony,

3. naruszenie przepisu art. 145 § 1 pkt 1 lit. “c” p.p.s.a. w zw. z art. 10 § 1 k.p.a. przez nieuchylenie zaskarżonej decyzji, mimo że organ nie umożliwił stronie przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów. Gdyby organ spełnił ten ustawowy obowiązek niewątpliwie strona wysłałaby pisma “przedstawione przez skarżącą w piśmie opatrzonym datą 15 stycznia 2021 r.”, (str. 26 wiersz 7-8 od góry zaskarżonego wyroku), jeszcze przed wydaniem zaskarżonej decyzji PUODO o nałożeniu administracyjnej kary pieniężnej;

II. prawa materialnego tj.:

1. art. 34 ust. 2 RODO, przez błędną jego wykładnię, że “treść tych zawiadomień bezsprzecznie nie odpowiada wymogom przewidzianym w art. 34 ust. 2 RODO”, mimo że prima facie pismo opisane przez WSA w Warszawie na stronie 4 wiersz 15-21 od góry zaskarżonego wyroku, wymogi te spełnia.

Podnosząc powyższe zarzuty skarżąca kasacyjnie wniosła o uchylenie zaskarżonego wyroku przez Wojewódzki Sąd Administracyjny w Warszawie i zasądzenie kosztów zastępstwa adwokackiego w postępowaniu ze skargi kasacyjnej a także opłaty od skargi kasacyjnej oraz ponowne rozpoznanie sprawy przez ten Sąd. W przypadku, gdy WSA w Warszawie nie rozpozna skargi kasacyjnej w trybie art. 179a p.o.p.s.a. o uchylenie zaskarżonego wyroku przez Naczelny Sąd Administracyjny w całości i przekazanie sprawy do ponownego rozpoznania Wojewódzkiemu Sądowi Administracyjnemu w Warszawie oraz o zasądzenie kosztów zastępstwa adwokackiego, a także zwrotu opłaty od skargi kasacyjnej.

Skarżąca kasacyjnie wniosła o rozpoznanie skargi kasacyjnej na rozprawie.

Pismem z 28 lipca 2022 r. organ złożył odpowiedź na skargę kasacyjną wnosząc jej oddalenie.

Naczelny Sąd Administracyjny zważył, co następuje.

1. Stosownie do art. 183 § 1 p.p.s.a., Naczelny Sąd Administracyjny rozpoznaje sprawę w granicach skargi kasacyjnej, biorąc pod rozwagę z urzędu jedynie nieważność postępowania. W rozpoznawanej sprawie nie zachodzi żadna z okoliczności skutkujących nieważnością postępowania, o jakich mowa w art. 183 § 2 p.p.s.a. i nie zachodzi żadna z przesłanek, o których mowa w art. 189 p.p.s.a., które Naczelny Sąd Administracyjny rozważa z urzędu dokonując kontroli zaskarżonego skargą kasacyjną wyroku. W tych okolicznościach w sprawie badaniu podlegały wyłącznie zarzuty podniesione w skardze kasacyjnej na uzasadnienie przytoczonych podstaw kasacyjnych.

Rozpoznając sprawę Naczelny Sąd Administracyjny związany jest granicami skargi. Związanie granicami skargi oznacza związanie podstawami zaskarżenia wskazanymi w skardze kasacyjnej oraz jej wnioskami. Naczelny Sąd Administracyjny bada przy tym wszystkie podniesione przez stronę skarżącą kasacyjnie zarzuty naruszenia prawa (tak NSA w uchwale pełnego składu z 26 października 2009 r. sygn. akt I OPS 10/09, opubl. w ONSAiWSA 2010 z. 1 poz. 1).

Zgodnie z art. 174 p.p.s.a. skargę kasacyjną można oprzeć na następujących podstawach: 1) naruszeniu prawa materialnego przez błędną jego wykładnię lub niewłaściwe zastosowanie, a także 2) naruszeniu przepisów postępowania, jeżeli uchybienie to mogło mieć istotny wpływ na wynik sprawy.

Stosownie do art. 176 p.p.s.a. strona skarżąca kasacyjnie ma obowiązek przytoczyć podstawy skargi kasacyjnej wnoszonej od wyroku Sądu I instancji i szczegółowo je uzasadnić wskazując, które przepisy ustawy zostały naruszone, na czym to naruszenie polegało i jaki miało wpływ na wynik sprawy. Rola Naczelnego Sądu Administracyjnego w postępowaniu kasacyjnym ogranicza się do skontrolowania i zweryfikowania zarzutów wnoszącego skargę kasacyjną.

Skarga kasacyjna jest niezasadna.

2. Istota sprawy sprowadza się do oceny zgodności z prawem wyroku Sądu I instancji, który oddalił skargę od decyzji PUODO nakładając na stronę skarżąca administracyjną karę pieniężną w wysokości 85 588 zł w związku z niewykonaniem nakazu nałożonego na nią decyzją administracyjną PUODO z 26 lutego 2020 r. W decyzji tej PUODO nakazał stronie skarżącej zawiadomienie osób, których dane dotyczą (w terminie 3 dni od dnia, w którym decyzja stanie się ostateczna) o naruszeniu ochrony danych osobowych (polegającym na skopiowaniu danych osobowych 100 pacjentów z systemu przychodni przez byłego pracownika celem wykorzystania ich do marketingu własnych usług) w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia RODO.

Tymczasem w niniejszej sprawie:

– strona skarżąca udowodniła jedynie (przedstawiając kopię pocztowej książki nadawczej) skierowanie 10 czerwca 2020 r. zawiadomień o naruszeniu ochrony danych osobowych do 10 osób;

– według organu, treść zawiadomień nie odpowiadała wymogom przewidzianym w art. 34 ust. 2 rozporządzenia RODO;

– liczba wskazanych zawiadomień była niewielka w stosunku do wskazanej w zgłoszeniu z 11 lipca 2019 r. liczby 100 osób, których dane naruszono (czy też liczby 37 osób wskazanej przez skarżącą – po sprawdzeniu – w piśmie, które wpłynęło do UODO w 2 listopada 2020 r.);

– PUODO nie mógł wziąć pod uwagę wyjaśnień i dowodów przedstawionych przez skarżącą w piśmie opatrzonym datą 15 stycznia 2021 r. (zawierającym załączniki w postaci 37 pism – “Zawiadomień o naruszeniu RODO” – wraz z potwierdzeniami ich nadania listami poleconymi w dniu 18 stycznia 2021 r.), a więc już po wydaniu zaskarżonej decyzji; pismo to złożone zostało do akt spraw po dacie wydania zaskarżonej decyzji (czyli po 5 stycznia 2021 r.);

– Sąd I instancji przyjął, że przedstawienie przez skarżącą pełnych i wyczerpujących dowodów wykonania przez nią nakazu było dopiero efektem doręczenia skarżącej zaskarżonej decyzji nakładającej administracyjną karę pieniężną.

Podstawą prawną wydanej przez PUODO decyzji był art. 83 ust. 1-2 rozporządzenia RODO, zgodnie z którym:

“Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

2. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na: a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; b) umyślny lub nieumyślny charakter naruszenia; c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą; d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32; e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego; f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; g) kategorie danych osobowych, których dotyczyło naruszenie; h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie; i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków; j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty” a także art. 83 ust. 5 rozporządzenia RODO w brzmieniu: “nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy na podstawie art. 58 ust. 2 podlega na mocy ust. 2 niniejszego artykułu administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa”. Z rozporządzenia RODO wynika również to, że: “Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia naprawcze: (…) e) nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych, i) zastosowanie, oprócz lub zamiast środków, o których mowa w niniejszym ustępie, administracyjnej kary pieniężnej na mocy art. 83, zależnie od okoliczności konkretnej sprawy (por. art. 58 ust. 2 lit e i lit i rozporządzenia RODO).

3. W skardze kasacyjnej zarzucono naruszenie prawa materialnego, jak i naruszenie przepisów postępowania. W sytuacji, gdy skarga kasacyjna zarzuca naruszenie prawa materialnego oraz naruszenie przepisów postępowania, co do zasady w pierwszej kolejności rozpoznaniu podlegają zarzuty naruszenia przepisów postępowania (por. wyrok NSA z 27 czerwca 2012 r., sygn. akt II GSK 819/11, LEX nr 1217424; wyrok NSA z 26 marca 2010 r., sygn. akt II FSK 1842/08, LEX nr 596025; wyrok NSA z 4 czerwca 2014 r., sygn. akt II GSK 402/13, LEX nr 1488113; wyrok NSA z 17 lutego 2023 r., sygn. akt II GSK 1458/19; wyrok NSA z 1 marca 2023 r., sygn. akt I FSK 375/20). Dopiero bowiem po przesądzeniu, że stan faktyczny przyjęty przez sąd w zaskarżonym wyroku jest prawidłowy, albo nie został dostatecznie podważony, można przejść do skontrolowania procesu subsumcji danego stanu faktycznego pod zastosowany przez sąd pierwszej instancji przepis prawa materialnego. Dla uznania za usprawiedliwioną podstawę kasacyjną z art. 174 pkt 2 p.p.s.a. nie wystarcza samo wskazanie naruszenia przepisów postępowania, ale nadto wymagane jest, aby skarżący wykazał, że następstwa stwierdzonych wadliwości postępowania były tego rodzaju lub skali, iż kształtowały one lub współkształtowały treść kwestionowanego w sprawie orzeczenia (por. wyrok NSA z 26 lutego 2014 r., sygn. akt II GSK 1868/12, LEX nr 1495116; wyrok NSA z 29 listopada 2022 r., sygn. akt I OSK 931/22).

W ramach zarzutu naruszenia przepisów postępowania strona skarżąca kasacyjnie wskazuje na: a) art. 141 § 4 p.p.s.a. (poprzez brak odniesienia się do wszystkich zarzutów skarżącej); b) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 7 k.p.a. i art. 77 k.p.a. (poprzez brak wyjaśnienie stanu faktycznego); c) art. 145 § 1 pkt 1 lit. c p.p.s.a. w zw. z art. 10 § 1 k.p.a. (poprzez uniemożliwienie stronie przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów). Z kolei w ramach naruszenia prawa materialnego skarżący kasacyjnie wskazał art. 34 ust. 2 rozporządzenia RODO przez błędną jego wykładnię. Zdaniem NSA, ze względu na tak sformułowane w skardze kasacyjnej zarzutów można odnieść się do nich w sposób łączny.

3. W ocenie NSA, skarga kasacyjna nie zasługuje na uwzględnienie i żaden z niezbyt obszernie uzasadnionych zarzutów nie mógł odnieść zamierzonego skutku z kilku zasadniczych powodów.

Po pierwsze – niezasadny jest zarzut naruszenia art. 141 § 4 p.p.s.a. polegający na tym, że “(…) WSA w Warszawie nie odniósł się do zarzutu skarżącej, poczynienia wadliwych ustaleń faktycznych w sprawie, polegających na przyjęciu, że przedsiębiorca nieprawidłowo wykonał nakaz decyzji administracyjnej (…) podczas gdy w istocie nakaz ten został prawidłowo wykonany, o czym Prezes UODO został przez przedsiębiorcę pisemnie powiadomiony”. Zdaniem NSA, uzasadnienie zaskarżonego wyroku Sądu I instancji sporządzone zostało w sposób odpowiadający art. 141 § 4 p.p.s.a. Zawiera wszystkie obligatoryjne elementy takiego uzasadnienia, tj. przedstawienie stanu sprawy, przedstawienie zarzutów podniesionych w skardze, podstawę prawną rozstrzygnięcia oraz jej wyjaśnienie. Wskazać trzeba, że Sąd I instancji:

– precyzyjnie przedstawił w części historycznej uzasadnienia wyroku stan faktyczny i prawny sprawy, w tym dokonane przez PUODO ustalenia w tym zakresie i ocenę prawną tego stanu;

– ocenił i zaakceptował stanowisko PUODO przedstawione w zaskarżonej decyzji, wskazując na podjęte przez skarżącą kasacyjnie przed wydaniem zaskarżonej decyzji nieudane próby wykonania nakazu określonego w decyzji PUODO z 26 lutego 2020 r. (s. 9- 11 uzasadnienia wyroku);

– prawidłowo przyjął po dokonaniu własnej analizy sprawy, że ustalony przez PUODO stan faktyczny sprawy nie budził wątpliwości (s. 22 uzasadnienia wyroku);

– wskazał na ustalenia dotyczące wykonania nakazu już po wydaniu zaskarżonej decyzji oraz jego udokumentowanie przez skarżącą w skardze do WSA w Warszawie (s. 16-17 uzasadnienia wyroku);

– wskazał, że PUODO zobowiązany był ustalić stan sprawy na dzień wydania zaskarżonej decyzji, gdyż nie mógł wziąć pod uwagę wyjaśnień i dowodów przedstawionych przez skarżącą w piśmie z 15 stycznia 2021 r. (zawierającym załączniki w postaci 37 pism – “Zawiadomień o naruszeniu RODO” – wraz z potwierdzeniami ich nadania listami poleconymi w dniu 18 stycznia 2021 r.), a więc już po wydaniu zaskarżonej decyzji; nie ulega wątpliwości, że pismo to złożone zostało do akt spraw po dacie wydania zaskarżonej decyzji nakładającej administracyjną karę pieniężną.

Podsumowując, zarzut naruszenia przez Sąd I instancji art. 141 § 4 p.p.s.a. jest niezasadny. Uzasadnienie zaskarżonego wyroku zawiera bowiem wszystkie elementy wskazane w tym przepisie, co pozwala na dokonanie przez NSA oceny trafności przesłanek, na których oparł się Sąd I instancji.

Po drugie – niezasadny jest zarzut naruszenia art. 145 § 1 pkt. 1 lit. c p.p.s.a. w zw. z art. 7 k.p.a. i art. 77 k.p.a.

Wskazać trzeba, że zgodnie z art. 33 ust. 5 rozporządzenia RODO: “Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu”.

Zatem to administrator musi być w stanie wykazać, że przestrzega przepisów prawa w tym zakresie. To właśnie na skarżącej kasacyjnie ciążył obowiązek udokumentowania działań zaradczych podjętych w związku z naruszeniem ochrony przetwarzanych przez siebie danych osobowych, w tym dokonania zawiadomień o tym naruszeniu osób, których dane dotyczą.

“Udokumentowanie” zaś polega na wytworzeniu dokumentów opisujących całokształt okoliczności związanych z naruszeniem ochrony danych osobowych, ich przechowywaniu i – w razie potrzeby – przedstawianiu ich organowi nadzorczemu weryfikującemu wykonanie przez administratora obowiązków związanych z powstałym naruszeniem.

Dodatkowo należy wskazać, że zgodnie z art. 5 ust. 2 rozporządzenia RODO: “Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (“rozliczalność”)”. Zasada ta zwana jako “zasada rozliczalności” pozostawia administratorowi swobodę w wyborze sposobu dokonania powiadomień osób dotkniętych naruszeniem. Ze zgromadzonego w sprawie materiału dowodowego wynika, że PUODO, w toku postępowań toczonych z udziałem skarżącej, udzielał jej wskazówek odnośnie do prawidłowego wykonania nakazu i na bieżąco – w oparciu o przedstawiane przez nią dokumenty – informował ją dlaczego przedstawione dokumenty nie wykazują wykonania przez nią obowiązku (tj. nie stanowią dowodu na wykonanie tego obowiązku).

Skarżąca podjęła próby dokonania zawiadomień osób dotkniętych naruszeniem drogą korespondencyjną, korzystając z usług Poczty Polskiej. Udokumentowanie tych prób powinno być zatem wykazane kopiami pism i standardowymi w takich przypadkach potwierdzeniami ich nadania u operatora pocztowego lub odebrania przez adresatów.

Próba wykazania w skardze kasacyjnej, że: “Pan M. K. kupił 37 znaczków na listy i je wysłał” i zarzut braku przesłuchania przez organ tej osoby na wskazaną okoliczność nie może być potraktowana jako zarzut wskazujący na rażące braki w postępowaniu dowodowym prowadzonym przez organ.

Jeszcze raz należy wskazać, że to na skarżącej kasacyjnie spoczywa obowiązek posiadania dokumentów na wskazaną okoliczność (art. 33 ust. 5 rozporządzenia RODO) oraz obowiązek wykazania przed organem nadzorczym wykonania obowiązku (art. 5 ust. 2 rozporządzenia RODO). Obowiązki organu administracyjnego wynikające z art. 7 k.p.a. i art. 77 k.p.a. nie są bowiem nieograniczone. Nałożenie na organy prowadzące postępowanie administracyjne obowiązku wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego nie zwalnia bowiem stron postępowania od współudziału w realizacji tego obowiązku. Dotyczy to zwłaszcza sytuacji, gdy nieudowodnienie określonych okoliczności faktycznych może prowadzić do rezultatów niekorzystnych dla stron. Dodatkowo należy wskazać, że skarżąca kasacyjnie ani w toku postępowania sprawdzającego wykonanie decyzji ani w postępowaniu w przedmiocie nałożenia na nią administracyjnej kary pieniężnej, będąc świadoma, że przedstawione w postępowaniach dokumenty nie wykazują wykonania przez nią nakazu PUODO nie wnioskowała o przeprowadzenie dowodów z zeznań świadka M. K. (będącego pracownikiem skarżącej) oraz z wyjaśnień samej skarżącej.

Podsumowując, zarzut naruszenia zaskarżonym wyrokiem art. 145 § 1 lit. c p.p.s.a. w zw. z art. 7 k.p.a. i art. 77 k.p.a. jest całkowicie bezzasadny. Sąd I instancji prawidłowo uznał, że PUODO wydając w dniu 5 stycznia 2021 r. sporne rozstrzygnięcie, nie dopuścił się naruszenia przepisów procedury administracyjnej, a w szczególności art. 7 k.p.a., art. 77 § 1 k.p.a., art. 80 k.p.a., a także art. 107 § 3 k.p.a. w związku z art. 7 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wyjaśnił bowiem wszystkie okoliczności istotne dla prawidłowego i pełnego rozstrzygnięcia sprawy, a także dokonał właściwej oceny zebranego w sprawie materiału dowodowego oraz przeprowadził ocenę w kontekście właściwie zastosowanych przepisów prawa materialnego.

Po trzecie – bezzasadny jest zarzut naruszenia przez Sąd I instancji art. 145 § 1 pkt. 1 lit. c p.p.s.a. w zw. z art. 10 § 1 k.p.a. przez nieuchylenie zaskarżonej decyzji “(…) mimo że organ nie umożliwił stronie przed wydaniem decyzji wypowiedzenia się co do zebranych dowodów i materiałów”.

PUODO w piśmie z 16 września 2020 r. poinformował skarżącą kasacyjnie, że w sprawie zgromadzony został materiał dowodowy wystarczający do wydania decyzji administracyjnej w przedmiocie nałożenia administracyjnej kary pieniężnej oraz że przed wydaniem decyzji ma ona możliwość wypowiedzenia się co do zebranych dowodów i materiałów na podstawie art. 10 §1 k.p.a. PUODO umożliwił zatem skarżącej czynny udział w postępowaniu i na bieżąco informował ją o podejmowanych w sprawie czynnościach. Skarżąca w żaden sposób nie wykazała, że zostało jej uniemożliwione podjęcie konkretnych czynności procesowych (np. złożenie wniosków dowodowych, przedstawienie oświadczeń, itp.). Skarżąca wskazała jedynie, że: “(…) gdyby organ wypełnił swój ustawowy obowiązek wynikający z art. 10 § 1 kpa i przed wydaniem zaskarżonej decyzji umożliwił stronie wypowiedzenie się co do zebranych dowodów i materiałów, strona niewątpliwie wykonałaby już na tym etapie bezpodstawne żądania organu, wychodzące poza zakres art. 34 RODO tak, jak wykonała go po zapoznaniu się ze stanowiskiem organu wysyłając 37 niekwestionowanych przez organ oraz przez WSA pism, dopiero w dniu 15.01.2021r.”. Zarzut taki jest zupełnie niezasadny.

Po czwarte – zarzut naruszenia przepisu prawa materialnego – art. 34 ust. 2 rozporządzenia RODO przez błędną jego wykładnię jest mało czytelny i praktycznie nie zawiera uzasadnienia. Jest w sposób oczywisty bezzasadny. Pełnomocnik skarżącej zaleca dokonanie “porównania” treści pisma z 10 czerwca 2020 r. z art. 34 ust. 2 rozporządzenia RODO w zw. z art. 33 ust. 3 lit. b, c) i d) rozporządzenia RODO, sam jednak takiej analizy nie przeprowadza, poprzestając na stwierdzeniu, że pismo to “prima facie” wymogi wyżej wskazanego przepisu spełnia. Zgodnie ze wskazanym art. 34 ust. 2 rozporządzenia RODO: “Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d)”. Zdaniem NSA, zasadnie wskazał PUODO w odpowiedzi na skargę, że pismo skarżącej z 10 czerwca 2020 r. zawiadamiające osoby dotknięte naruszeniem ich danych osobowych o tym naruszeniu, nie spełnia wymogów określonych w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. b), c) i d) rozporządzenia RODO, gdyż nie zawiera: opisu charakteru naruszenia, opisu możliwych konsekwencji naruszenia oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w celu zminimalizowania jego ewentualnych negatywnych skutków.

Na koniec należy wskazać, że Sąd I instancji zasadnie wskazał, że sporna administracyjna kara pieniężna, wbrew zarzutom strony skarżącej, była proporcjonalna, odstraszająca, a także skuteczna, o czym świadczy wykonanie przez skarżącą nakazu określonego w decyzji PUODO niezwłocznie po doręczeniu stronie skarżącej zaskarżonej decyzji z 5 stycznia 2021 r.

Zatem wszelkie działania sanujące podjęte przez skarżącą po dacie wydania zaskarżonej decyzji nakładającej administracyjną karę pieniężną, nie mogły być wzięte pod uwagę przez Sąd I instancji. W niniejszej sprawie samo wykonanie obowiązku nastąpiło dopiero po dacie wydania decyzji PUODO z 5 stycznia 2021 r., gdyż wszystkie potwierdzenia wysłania zawiadomień noszą datę 18 stycznia 2021 r.

4. W tym stanie rzeczy Naczelny Sąd Administracyjny, na podstawie art. 184 p.p.s.a. oddalił skargę kasacyjną jako niemającą usprawiedliwionych podstaw.

O kosztach orzeczono na podstawie art. 207 § 2 p.p.s.a.