Czy dane służące do logowania się w serwisie internetowym należy traktować jako dane osobowe? Jeśli chodzi o informacje pozwalające wejść na cudze fejsbókowe konto? Jeśli gapowaty pracownik, zdając służbowy komputer, zapomniał je wykasować? A może zalogowanie się na konto internetowe w ogóle nie podlega pod RODO? (wyrok Naczelnego Sądu Administracyjnego z 28 maja 2026 r., III OSK 2508/25).
opis stanu faktycznego:
- sprawa zaczęła się od wypowiedzenia umowy o pracę informatykowi zatrudnionemu w urzędzie miasta i zdania służbowego komputera;
- przy przygotowywaniu sprzętu do ponownego użycia okazało się, że informatyk nie wyczyścił danych, w tym nie usunął danych pozwalających zalogować się do Fejsbóka — i oto oczom zdumionych zainteresowanych ukazała się treść prowadzonych za pośrednictwem komunikatora Mesendżer rozmów dotyczących burmistrza, prowadzonych pomiędzy nim a innym pracownikiem urzędu…
- a ponieważ opinie nie były nader pochlebne, burmistrz zwolnił dyscyplinarnie owego interlokutora, a także złożył zawiadomienie o możliwości popełnienia przestępstwa przez te osoby…
art. 2 ust. 1 RODO
Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
art. 1 ust. 1 ustawy o ochronie danych osobowych
Ustawę stosuje się do ochrony osób fizycznych w związku z przetwarzaniem danych osobowych w zakresie określonym w art. 2 i art. 3 [RODO].
art. 4 pkt 6 RODO
„zbiór danych” oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;
- …zatem informatyk złożył skargę na nieuprawnione przetwarzanie przez burmistrza jego danych osobowych, w tym danych służących do logowania na platformie społecznościowej;
decyzja PUODO:
- korespondencja może stanowić dane osobowe: ta konkretna pozwalała na identyfikację konkretnych osób fizycznych, ale też zawierała dane wrażliwe (informacje o wyznaniu), danymi osobowymi są także dane do logowania w serwisach internetowych;
- skoro więc burmistrz nie był uprawniony do ich przetwarzania, w wydanej decyzji organ udzielił burmistrzowi upomnienia za naruszenie RODO — ale nie nakazał usunięcia danych, ponieważ są one niezbędne do prowadzonych postępowań;
WSA, podejście pierwsze:
- badając skargę wniesioną przez burmistrza sąd przypomniał, że RODO nie dotyczy wszystkich przypadków przetwarzania danych, zaś organ ochrony danych osobowych z pewnością nie został powołany rozstrzygania prywatnych sporów dotyczących naruszenia dóbr osobistych, choćby chodziło o prywatność lub tajemnicę korespondencji;
- po drugie manualne otwarcie strony internetowej i sprawdzenie jej treści nie oznacza przetwarzania w sposób choćby częściowo zautomatyzowany, zaś rozszerzająca wykładnia RODO dopuszczalna nie jest — zatem decyzja została uchylona (wyrok WSA w Warszawie z 6 maja 2021 r., II SA/Wa 2372/20);
NSA, podejście pierwsze:
- Fejsbók jako serwis internetowy jest „zbiorem danych”, zatem RODO do przeglądania treści stanowiących dane osobowe ma zastosowanie;
- zaś szeroka definicja danych oznacza, że PUODO ma prawo zajmować się nieuprawnionym dostępem do korespondencji prowadzonej na Mesendżerze, pod warunkiem oczywiście, że obejmuje ona dane osobowe;
- nie można przy tym zapominać, że osobie, której dane zostały naruszone, przysługują dwie ścieżki: skarga do organu nadzorczego lub prawo do wytoczenia powództwa sądowego, poza tym oczywiście w rachubę wchodzi odpowiedzialność karna — a pokrzywdzony może zdecydować się tylko na jedną metodę, albo na wszystkie (zatem orzeczenie WSA zostało uchylone, wyrok NSA z 16 stycznia 2025 r., III OSK 6135/21);
wyrok WSA, podejście drugie:
- po pierwsze primo Fejsbók i jego komunikator są zbiorem danych w rozumieniu RODO, po drugie primo immanentną cechą funkcjonowania serwisów internetowych jest przetwarzanie w sposób zautomatyzowany, bo przecież komputery i serwery to maszyny elektroniczne;
- skoro więc burmistrz pozyskał dane osobowe bez zgody i bez wykazania jakiejkolwiek przesłanki, to kara upomnienia za naruszenie RODO była prawidłowa (wyrok WSA w Warszawie z 27 sierpnia 2025 r., II SA/Wa 121/25);
skarga kasacyjna:
- w skardze kasacyjnej od tego orzeczenia burmistrz podkreślił, że trzeba odróżnić mechaniczne przetwarzanie danych i możliwość odnajdowania informacji o osobach od otwarcia przeglądarki komputerowej i zapoznania się z pozostawionymi informacjami;
- nie doszło przy tym do przetwarzania jakichkolwiek danych pozwalających się zalogować do platformy Meta, skoro użytkownik komputera pozostawił te dane całkowicie dostępne (por. „Czy jest przestępstwem logowanie się na cudze konto w Facebooku — jeśli właściciel konta sam poda hasło?”);
- co w sumie oznacza, że RODO zastosowania nie miało, przeto i zarzut braku przesłanek przetwarzania jest bezzasadny;
wyrok NSA:
- oddalając skargę kasacyjną NSA podkreślił, że dane do logowania do serwisu internetowego pozwalają na zapoznanie się z profilem konkretnego użytkownika, jak też przeglądanie, zbieranie, pobieranie i wykorzystywanie danych innych osób, zatem należy je traktować jako dane osobowe;
- danymi osobowymi może być także prowadzona korespondencja — w tym przypadku, biorąc pod uwagę jej treść, była;
- a skoro tak, to przepisy RODO oczywiście w sprawie mają zastosowanie — począwszy od przesłanek przetwarzania, aż do uprawnień sankcyjnych;
- nie ma przy tym znaczenia, czy skarżący się zagapił i nie usunął informacji dostępowych ze służbowego komputera — bo to obowiązkiem pracodawcy jest usunąć wszelkie dane przed przekazaniem sprzętu kolejnemu pracodawcy, a na pewno taka sytuacja nie uprawnia go do przeglądania przypadkowo udostępnionych treści.
Q.E.D.