Czy sprawy „sprzed RODO” można oceniać według przepisów RODO? Jeśli doszło do błędu, którego skutkiem jest powtarzający się, comiesięczny wyciek danych? Czy jednak zastosowanie RODO do naruszeń wcześniejszych wyklucza brak podstawy prawnej — a prawodawcy, który nie zdecydował się wyjaśnić kwestii intertemporalnych, poprawiać nie wolno? (wyrok Naczelnego Sądu Administracyjnego z 9 kwietnia 2026 r., III OSK 1485/23).
opis stanu faktycznego:
- sprawa zaczęła się w październiku 2016 r. od zawarcia przez klienta dwóch umów o świadczenie usług telekomunikacyjnych (tj. na firmę i indywidualnej); jakiś czas później klient aktualizował, w rozmowie z biurem obsługi klienta, swoje dane osobowe, pech chciał, że konsultant źle zapisał podany adres listelowy…
- …finalnie faktury (ale bez wykazu połączeń) były wysłane do niewłaściwej osoby; 3,5 roku później operator dowiedział się o pomyłce od klienta, więc zgłosił naruszenie do PUODO, przypadkowy adresat potwierdził usunięcie otrzymanych wiadomości, klientowi zaproponowano trzy miesiące w gratisie (nie płacił, umowa została wypowiedziana, a dług sprzedany funduszowi sekurytyzacyjnemu) — a do organu wpłynęła skarga na naruszenie, w tym na wyciek danych z billingu;
- w tej sytuacji PUODO uznał, że skoro rzecz zaczęła się przed RODO, sprawę należy podzielić na dwa etapy: pierwszy od 2016 do 24 maja 2018 r., drugi od 25 maja 2018 r. do dnia, kiedy błąd naprawiony;
- zaś stwierdzając, że RODO przewiduje ciągłość postępowań — ale nie pozwala na wszczęcie postępowania dotyczącego stanu faktycznego sprzed RODO, co do pierwszego okresu sprawę umorzył jako bezprzedmiotową;
- natomiast skoro wyciek danych trwał także pod rządami RODO, to tego rodzaju naruszenie zasługuje na sankcję upomnienia;
- w skardze na tę decyzję abonent zwrócił uwagę, że ustawa przewiduje ciągłość kompetencyjną organów (Generalny Inspektor Ochrony Danych Osobowych stał się PUODO, a Biuro GIODO stało się Urzędem Ochrony Danych Osobowych), zarazem „postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych” z art. 60 ustawy należy traktować szeroko, toteż nie było podstaw do odmowy zajęcia się naruszeniem sprzed RODO;
art. 99 RODO
1. [RODO] wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.
2. [RODO] ma zastosowanie od dnia 25 maja 2018 r.
art. 160 ust. 1-2 ustawy o ochronie danych osobowych
1. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed dniem wejścia w życie niniejszej ustawy, prowadzone są przez Prezesa Urzędu [Ochrony Danych Osobowych].
2. Postępowania, o których mowa w ust. 1, prowadzi się na podstawie ustawy [o ochronie danych osobowych z 1997 r.], zgodnie z zasadami określonymi w [kodeksie postępowania administracyjnego].
art. 171 ust. 2 ustawy o ochronie danych osobowych
W sprawach sądowych, sądowoadministracyjnych lub administracyjnych, wszczętych i niezakończonych przed dniem wejścia w życie niniejszej ustawy, w których stroną lub uczestnikiem był Generalny Inspektor Ochrony Danych Osobowych, z dniem wejścia w życie niniejszej ustawy stroną lub uczestnikiem staje się Prezes Urzędu [Ochrony Danych Osobowych].
art. 105 § 1 kodeksu postępowania administracyjnego
Gdy postępowanie z jakiejkolwiek przyczyny stało się bezprzedmiotowe w całości albo w części, organ administracji publicznej wydaje decyzję o umorzeniu postępowania odpowiednio w całości albo w części.
- (dla żądnych detali: mężczyzna zarzucał też błędy w samym postępowaniu, m.in. powoływał się na to, że wielokrotnie informował operatora o błędzie, ale jego uwagi zostały zignorowane, zarazem z niejasnych przyczyn dano wiarę wyjaśnieniom firmy, że billing nie został wysłany pod zły adres — jak też domagał się nałożenia na firmę kary pieniężnej);
wyrok WSA:
- po pierwsze RODO weszło w życie już 24 maja 2016 r., nie ma też wątpliwości, że do błędu operatora doszło po tej dacie, a stan naruszenia trwał także pod rządami RODO;
- nie ma wątpliwości, że gdyby organ wszczął postępowanie wcześniej, toczyłoby się ono dalej — brak jest natomiast przepisu przejściowego regulującego sporną sytuację;
- owszem, w orzecznictwie istnieje dwugłos (trójgłos?): czy RODO ma zastosowanie także wobec zdarzeń zaistniałych po jego wejściu w życie — a może dopiero do tych, które miały miejsce pod „pełnymi” rządami rozporządzenia? —
- jednak zdaniem sądu okoliczność, iż naruszenie rozpoczęło się pod rządami ustawy z 1997 r. nie może pozbawiać kogoś możliwości rozpatrzenia jego skargi, a więc nie jest podstawą do umorzenia postępowania ze względu na jej bezprzedmiotowość;
- (co innego, gdyby naruszenie i zaczęło się, i skończyło przed RODO);
- biorąc pod uwagę taką wykładnię, decyzja została w części uchylona (w pozostałym zakresie WSA przyznał rację urzędowi, wyrok WSA w Warszawie z 8 lutego 2023 r., II SA/Wa 1655/22);
skargi kasacyjne:
- w skardze kasacyjnej od tego wyroku PUODO podkreślił, iż RODO stosuje się dopiero do naruszeń, które miały miejsce od 25 maja 2018 r.; norma intertemporalna pozwalająca „przenieść” postępowanie już prowadzone nie może być interpretowana rozszerzająco, tj. jako asumpt do stosowania RODO do stanów faktycznych zaistniałych wcześniej, w przypadku których nie było skargi i nie ma postępowania;
- osobną skargę kasacyjną wniósł operator telekomunikacyjny, który argumentował, że zgoda na zastosowanie RODO do wcześniejszych naruszeń prowadziłoby do naruszenia zakazu retroakcji prawa i zasady nulla poena sine lege; co więcej nie można mówić o „ciągłości” naruszenia, ponieważ udostępnienie danych osobowych osobie nieuprawnionej, „(choćby występujące wielokrotnie) mają charakter jednostkowy (odrębny) i „zamknięty” w czasie, a nie „ciągły”, a zatem nie mogą być potraktowane jako jeden proces „kontynuowany” przed i po dacie rozpoczęcia stosowania RODO” (tłumacząc z prawniczego na ludzkie: nieważne, że fakturę wysyłaliśmy co miesiąc, ważne, że problem powstał w październiku 2016 r.);
- (poza tym przed RODO dane osób prowadzących działalność gospodarczą ochronie nie podlegały, więc trudno mówić o jakimkolwiek naruszeniu);
wyrok NSA:
- interpretacja, w myśl której zmiana prawa oznacza utratę możliwości dochodzenia swych praw przez pokrzywdzonego obywatela, a sprawca naruszenia jest bezkarny, jest niedopuszczalna (por. wyrok NSA z 26 września 2024 r., III OSK 485/23; nb. dotyczy on opisywanej na tutejszych łamach kwestii udostępnienia osobie postronnej danych ex-pracownika — i tamta historia też się plecie latami);
- niepisaną, acz aprobowaną także przez TSUE regułą jest, iż w przypadku braku przepisu przejściowego należy stosować przepisy obowiązujące w momencie zakończenia zdarzeń, które miały miejsce przed wejściem w życie nowego unormowania, ale trwają jeszcze potem; w przypadku zdarzeń, które zakończyły się przed tą datą, w całości stosuje się przepisy dawne;
- upraszczając: jeśli było naruszenie, to nie można powiedzieć, że nie ma sprawy wymagającej merytorycznego rozstrzygnięcia;
- do tego momentu proste i logiczne, od tego miejsca nieco mniej: w ocenie NSA skoro w sumie było to jedno, wielorazowe naruszenie, toteż jego ocena prawna musi być jednolita — w takim przypadku nie ma zastosowania zasada tempus regit factum i nie ma potrzeby „podziału” sprawy na dwa etapy — i RODO należy stosować do całości;
- biorąc pod uwagę taką wykładnię NSA uchylił obie skargi kasacyjne — a więc PUODO będzie musiał jeszcze raz zająć się „pierwszą” częścią naruszenia.
Zamiast komentarza: ogólnie zgoda, w detalach zgody brak: jeśli zgodzimy się z tym poglądem, to będziemy wymagać prawidłowego zastosowania art. 6 ust. 1 RODO do przetwarzania, które miało miejsce przed majem 2018 r. Z drugiej strony rzeczywiście umiłowany w swej mądrości prawodawca ulepił niezłą lukę prawną, ponieważ ustawa literalnie zagadnienie to zignorowała. Z trzeciej strony bywało gorzej, bo przecież jeszcze nie tak dawno NSA twierdził, że „Co było, a nie jest, nie pisze się w rejestr”.