Czy administrator danych osobowych może powierzyć przetwarzanie danych dowolnemu podwykonawcy? Czy jednak powinien wybrać taki podmiot przetwarzający, który daje gwarancje prawidłowego zabezpieczenia danych? Czy administrator ma obowiązek weryfikować jakość pracy procesora? Czy możliwe jest ukaranie administratora za brak audytów podmiotu przetwarzającego? (wyrok Naczelnego Sądu Administracyjnego z 6 lutego 2026 r., III OSK 445/23).
opis stanu faktycznego:
- sprawa zaczęła się od skopiowania, z prowadzonego przez zewnętrzną firmę cyfrowego archiwum dostawcy energii elektrycznej, danych 137 tys. klientów; problem zaistniał przy pracach nad oprogramowaniem — baza chodziła nazbyt powoli, więc próbowano zwiększyć jej wydajność przy wykorzystaniu oprogramowania ElasticSearch… i tak jakoś się porobiło, że powstała podatność, z której skorzystała osoba nieuprawniona;
- w ocenie PUODO incydent dowodził nie tylko braku odpowiednich zabezpieczeń bazy danych, ale też niewykonywania przez administratora obowiązków w zakresie weryfikacji i kontroli poczynań procesora — z czego nie zwalnia ani fakt, że współpraca jest wieloletnia (jeszcze sprzed RODO) — a ponieważ o naruszeniu nie powiadomiono zainteresowanych osób, w wydanej decyzji nałożono na administratora i podmiot przetwarzający kary w wysokości odpowiednio 4,911 mln i 250 tys. złotych;
- (pozostawione w uzasadnieniu okruszki pozwoliły ustalić, iż administratorem była spółka Fortum Marketing and Sales S.A. (dziś Fortum Energia S.A.), a dostawcą usługi prowadzenia cyfrowego archiwum umów spółka PIKA sp. z o.o., decyzja PUODO z 19 stycznia 2022 r., nr DKN.5130.2215.2020);
art. 28 ust. 1 i 3 RODO
1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: […]
c) podejmuje wszelkie środki wymagane [w zakresie wdrożenia odpowiednich środków technicznych i organizacyjnych dla prawidłowego zabezpieczenia],
h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich […]
skarga na decyzję PUODO:
- w skardze na tę decyzję Fortum podkreśliła, iż PIKA jako renomowany i profesjonalny dostawca usług archiwizacji powinien lepiej wiedzieć od zamawiającego co i jak trzeba wdrażać dla prawidłowego zabezpieczenia repozytorium danych, zaś tak czy inaczej nałożenie kary administracyjnej za brak regularnego audytowania jest bezpodstawne, bo przecież firmy współpracowały ze sobą od dawna i pozytywnie;
- natomiast PIKA zwróciła uwagę, że do wycieku doszło wskutek przestępstwa, którego sprawcą była osoba z zewnątrz, zatem trudno jej przypisać jakąkolwiek odpowiedzialność za ów czyn;
wyrok WSA:
- obowiązkiem organu jest ustalenie stanu faktycznego w kierunku prawdy obiektywnej, a więc nie można oprzeć się wyłącznie na oświadczeniach stron;
- tymczasem wadliwy sposób przeprowadzenia przez PUODO postępowania dowodowego nie pozwala na wiarygodne rozstrzygnięcie sporu: brakuje nie tylko wiarygodnych dowodów, iż administrator nie nadzorował poczynań podmiotu przetwarzającego, ale nawet nie ustalono „czy doszło do „wycieku danych”, czy też pojawiła się jedynie krótkotrwała możliwość uzyskania dostępu do danych osobowych przez osoby nieuprawnione”;
- zatem zaskarżona decyzja została uchylona (wyrok WSA w Warszawie z 10 października 2022 r., II SA/Wa 567/22);
wyrok NSA:
- po pierwsze nie ma wątpliwości, że administracyjna kara pieniężna może być nałożona tylko za uchybienie obowiązkom wynikającym z RODO, nawet jeśli nie doszło do naruszenia ochrony danych osobowych;
- administrator może powierzyć przetwarzanie wyłącznie podmiotowi, który gwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, a jego obowiązkiem jest weryfikować te okoliczności oraz prowadzić audyty procesora (art. 28 RODO), przy czym tych powinności nie można pominąć ze względu na fakt wieloletniej współpracy;
- po drugie jest oczywistą oczywistością, że chociaż podmiot przetwarzający może ponosić „swoje” konsekwencje naruszeń, to ukaranie procesora nie zwalnia administratora z odpowiedzialności za jego przewiny (por. „Czy administrator danych osobowych może ponosić odpowiedzialność za incydent bezpieczeństwa spowodowany przez firmę hostingową?”);
- wszystkie te okoliczności PUODO sprawdził w należyty sposób, toteż nie sposób zarzucać mu naruszenia obowiązków w zakresie postępowania dowodowego;
- natomiast zupełnie nie sposób zrozumieć uwag WSA, iż trzeba rozróżnić „wyciek danych” od „krótkotrwałej możliwości” uzyskania dostępu do danych osobowych przez osoby nieupoważnione: tak czy inaczej chodzi o naruszenie skutkujące utratą poufności, czyli sytuacji niedopuszczalnej z punktu widzenia RODO;
Sumarycznie oznacza to, że dopuszczalne jest ukaranie administratora za brak regularnych audytów podmiotu przetwarzającego, a ponieważ wysokość nałożonych sankcji nie wykraczała poza ramy prawne, NSA uchylił wyrok i zwrócił sprawę do ponownego rozpoznania przez WSA.