Wiele skarg na jedno naruszenie RODO — czy to jedna sprawa, czy wiele spraw?

przez

Głośne, dotykające tysięcy osób naruszenie zasad ochrony danych osobowych, zwykle kończy się wszczęciem przez PUODO postępowania z urzędu, a także wniesieniem mnóstwa skarg przez zainteresowanych. Czy w takiej sytuacji organ może i powinien prowadzić każde postępowanie z osobna i rozstrzygać każdą skargę z osobna, bo każda skarga oznacza odrębną sprawę? Czy jednak jedno naruszenie RODO to jedna sprawa, nawet jeśli do urzędu wpłynie wiele skarg na administratora, a mnożenie postępowań w jednej sprawie jest niedopuszczalne?
I, nieco na marginesie: czy powierzenie przetwarzania podmiotowi niepodlegającemu jurysdykcji prawnej UE oznacza, iż wyłączną odpowiedzialność za ew. incydent bezpieczeństwa można przypisać wyłącznie administratorowi danych osobowych?

Henryk Skolimowski
A tu ciekawostka: to niewątpliwie czysto ilustracyjne zdjęcie zostało wykonane na ziemi niemieckiej (fot. Olgierd Rudak, CC BY-SA 4.0)

wyrok Naczelnego Sądu Administracyjnego z 18 czerwca 2025 r. (III OSK 2181/22)
Jeżeli naruszenie praw wielu osób jest skutkiem jednego stanu faktycznego (jednego naruszenia), to należy przyjąć, że jest to jedna sprawa materialna w rozumieniu Kodeksu postępowania administracyjnego. 

opis stanu faktycznego:

  • sprawa zaczęła się nałożenia przez Prezesa Urzędu Ochrony Danych Osobowych kary za wyciek danych osobowych 140 tys. użytkowników serwisu internetowego MoneyMan.pl prowadzonego przez ID Finance Poland sp. z o.o. (spółka wciąż w likwidacji);
  • jednak administratorowi udało się przekonać sąd, że administrator, który wynajmuje profesjonalny podmiot i powierza mu zarządzanie serwisem internetowym — powierza przetwarzanie danych osobowych — nie może ponosić bezpośredniej odpowiedzialności za błędy podwykonawcy, zatem decyzja urzędu została prawomocnie i ostatecznie uchylona (wyrok NSA z 18 czerwca 2025 r., III OSK 669/22);
  • w tzw. międzyczasie jeden z użytkowników serwisu MoneyMan.pl złożył do PUODO skargę na udostępnienie danych osobowych podmiotom nieuprawnionym;

art. 83 ust. 1 RODO
Każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne […] były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające.

art. 77 ust. 1 RODO
Bez uszczerbku dla innych administracyjnych lub środków ochrony prawnej przed sądem każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie.

  • a w wydanej decyzji organ uznał, że skoro baza danych nie była prawidłowo zabezpieczona, to można powiedzieć o udostępnieniu danych bez odpowiedniej podstawy prawnej, a za stwierdzone naruszenie udzielił spółce upomnienia;
  • (dla jasności, bo to istotne: takich skarg i podobnych decyzji było wiele — niektórzy wytaczali nawet powództwa odszkodowawcze);

skarga na decyzję PUODO:

  • w skardze na tę decyzję ID Finance Poland podkreśliła, że cyberatak nie może być traktowany jako bezprawne udostępnienie danych osobowych, a błędów w zabezpieczeniu danych nie powinno się interpretować jako ich przetwarzania bez ważnej podstawy prawnej;
  • co więcej PUODO powinien był wziąć pod uwagę, że ten sam incydent bezpieczeństwa skutkował wniesieniem wielu skarg, które były przez urząd rozpatrywane osobno, przez co dochodzi do multiplikowania sankcji — a co gorsza są różne rozstrzygnięcia w podobnych sprawach;

wyrok Wojewódzkiego Sądu Administracyjnego:

  • WSA nie przychylił się do tak sformułowanych zarzutów: przetwarzaniem danych jest każda operacja dotycząca danych osobowych, w tym każde ich ujawnienie, a do udostępnienia nie musi dojść wskutek zamierzonego działania administratora;
  • skoro więc każde przetwarzanie musi mieć oparcie w przepisach rozporządzenia, to nieuprawnione udostępnienie oznacza naruszenie RODO;
  • w przypadku naruszenia RODO każdy ma prawo wnieść indywidualną skargę do organu nadzorczego, a wówczas PUODO prowadzi odrębne postępowanie — i wydaje odrębną decyzję (wyrok WSA w Warszawie z 31 maja 2025 r., II SA/Wa 2485/21);

skarga kasacyjna:

  • we wniesionej skardze kasacyjnej spółka podtrzymała wcześniejsze stanowisko, ale też podkreśliła, że sam fakt objęcia konkretnej osoby incydentem bezpieczeństwa nie oznacza, że jej dane wyciekły (a dowodów na udostępnienie tych konkretnych danych brak);
  • zaś tak czy inaczej to samo naruszenie było już przedmiotem postępowania PUODO, w którym kompleksowo oceniono środki bezpieczeństwa i zgodność z prawem postępowania administratora, a więc wielokrotne wydawanie decyzji po jednostkowych skargach skutkuje wielokrotnym stosowaniem środków naprawczych, i to w sytuacji, kiedy organ znał wykładnię sądu administracyjnego (dla przypomnienia: wyrok WSA korzystny dla spółki, korzystny dla spółki wyrok NSA (sygn. akt III OSK 669/22) został wydany tego samego dnia);

wyrok Naczelnego Sądu Administracyjnego:

  • w przypadku stwierdzenia przez PUODO naruszenia ochrony danych osobowych organ powinien wszcząć jedno postępowanie, w ramach którego ustali wszelkie okoliczności sprawy i wyda jedną decyzję;
  • nie ma przy tym znaczenia, że najsamprzód organ z urzędu skupił się na określonych naruszeniach, a w później zaczęły spływać indywidualne skargi osób, które poczuły się dotknięte;
  • sęk w tym, że jedno naruszenie RODO, które dotyka wielu osób, to jedna sprawa w rozumieniu kodeksu postępowania administracyjnego;
  • wszakże pojęcie sprawy odnosi się do elementu przedmiotowego (stanu faktycznego — błędów w zabezpieczeniach systemu) i elementu podmiotowego (osób, których dane wyciekły), jeśli więc wskutek jednego zdarzenia doszło do naruszenia praw wielu osób, to jest to jedna sprawa, która powinna być wyjaśniona całościowo;
  • a przecież mnożenie postępowań administracyjnych w jednej sprawie jest niedopuszczalne (jest przesłanką odmowy wszczęcia postępowania lub jego umorzenia);

Swoiste „rozparcelowanie” jednego incydentu na wiele postępowań w przedmiocie nałożenia odpowiedzialności administracyjnej może prowadzić do wypaczenia oceny incydentu, jego skali, wagi, czy rozmiarów poniesionych szkód.

  • przecież wysokość administracyjnej kary pieniężnej powinna uwzględniać okoliczności każdego przypadku (czyli sprawy), w tym także liczby poszkodowanych osób (art. 83 ust. 2 lit a RODO), przeto wyłączenie skarg do odrębnych postępowań pomniejsza tę liczbę — a sensowność wielokrotnego upominania administratora za jeden i ten sam incydent jest wątpliwa;
  • wcale nie na marginesie NSA stwierdził, że zasada rozliczalności sprawia, że odpowiedzialność administratora za niedopatrzenia podmiotu przetwarzającego może zależeć od jurysdykcji prawnej: jeśli oba podmioty podlegają prawu UE (w tym RODO), to dopuszczalne jest rozważanie ich odrębnej odpowiedzialności;
  • jeśli jednak administrator powierza przetwarzanie danych osobowych podmiotowi nie podlegającemu prawu UE (czytaj: spółce z siedzibą w Białorusi), to taką odpowiedzialność ponosi administrator — a wynika to także z faktu, iż wysokość kary zależy od „stopnia odpowiedzialności administratora lub podmiotu przetwarzającego”, z uwzględnieniem stosowania się do przepisów RODO (którego do podmiotów z państw trzecich się nie stosuje);

Wyprowadzenie procesu przetwarzania danych osobowych poza kraje, w których obowiązują przepisy RODO oraz na rzecz podmiotu, który nie podlega jurysdykcji państwa członkowskiego UE było świadomym działaniem administratora, stąd dla zachowania realizacji praw podmiotowych osób podlegających ochronie przepisów RODO.

Biorąc pod uwagę wykładnię, iż jedno naruszenie RODO to jedna sprawa, Naczelny Sąd Administracyjny uchylił zaskarżony wyrok oraz decyzję PUODO — wskazując przy tym, że wszystkie indywidualne skargi powinny być rozpoznane wraz ze sprawą główną (tj. dotyczącą decyzji DKN.5130.1354.2020), zaś wszyscy skarżący powinni uzyskać status stron tego postępowania.

Jakby ktoś pytał: tylko ten wyrok kosztował urząd 1257 zł zwrotu kosztów postępowania sądowego, a tylko tego samego dnia — 18 czerwca 2025 r. — NSA wydał jeszcze kilka podobnych orzeczeń (np. III OSK 1957/22, III OSK 1958/22, III OSK 1978/22, III OSK 2100/22, III OSK 2181/22, III OSK 2182/22, III OSK 2289/22, III OSK 2192/22, III OSK 2398/22, III OSK 2441/22).

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

13 komentarzy
Oldest
Newest
13
0
komentarze są tam :-)x