Oddalając skargę kasacyjną KSSiP, sąd podkreślił, że dla odpowiedzialności administratora wynikającej z RODO nie ma znaczenia, czy do wycieku danych doszło w efekcie błędu pracownika firmy zewnętrznej, czy też z innych przyczyn.

Kulisy naruszenia RODO

Chodzi o przetwarzane na internetowej platformie szkoleniowej KSSiP dane ponad 50 tys. osób podlegających szkoleniu ustawicznemu – sędziów i asesorów sądowych, prokuratorów i asesorów prokuratury, referendarzy sądowych, asystentów sędziów, asystentów prokuratorów, kuratorów zawodowych, urzędników sądów i prokuratury oraz pracowników Ministerstwa Sprawiedliwości. Do wycieku tych danych doszło w lutym 2020 r. w trakcie testowej migracji do nowej platformy. KSSiP dowiedziała się o sprawie w kwietniu 2020 r. od Komendy Głównej Policji, gdy dane z wycieku pojawiły się w internecie. Administrator powiadomił UODO o naruszeniu obejmującym m.in.: imię i nazwisko, adres e-mail, nazwę użytkownika, numer telefonu, miejscowość, adres IP i hasło. Następnie Prokuratura Regionalna w Lublinie ustaliła, że do sieci trafiło też ponad 44 tys. numerów PESEL użytkowników platformy szkoleniowej KSSiP.

W toku postępowania UODO stwierdził, że proces przetwarzania danych KSSiP zleciła zewnętrznej firmie (podmiotowi przetwarzającemu) i odbywał się on z zaniedbaniem odpowiednich środków technicznych oraz organizacyjnych. Urząd wytknął administratorowi m.in. to, że chociaż ten zdecydował, iż po zakończeniu procesu migracji nie powinna pozostać żadna kopia bazy danych, to później nie zweryfikował, czy tak się stało. Zdaniem organu, nawet jeśli w wyniku błędu pracownik podmiotu przetwarzającego nie usunął wykonanej kopii, to obowiązek zapewnienia bezpieczeństwa przetwarzania spoczywał na KSSiP.

Skala wycieku danych i liczba poszkodowanych przesądziły o wysokości kary

Kara za stwierdzone naruszenie RODO została ustalona w najwyższej kwocie możliwej do zastosowania wobec podmiotów publicznych. Urząd wziął przy tym pod uwagę m.in. wysoki stopień odpowiedzialności administratora, kategorie danych objętych wyciekiem i liczbę poszkodowanych osób oraz pełnione przez te osoby funkcje zaufania publicznego. UODO uwzględnił wprawdzie także działania podjęte przez KSSiP w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, ale nie obniżył z tego powodu kary, gdyż – jak stwierdził w decyzji z 11 lutego 2021 r. – „jest i tak niewspółmiernie niska do skali i wagi naruszenia”.

KSSiP nie zgodziła się z argumentacją urzędu, wskazując, że środki bezpieczeństwa zapewnione w procesie migracji były wystarczające, a błąd, który doprowadził do wycieku, popełniła firma zewnętrzna. W związku z tym KSSiP zaskarżyła decyzję UODO do wojewódzkiego sądu administracyjnego, a gdy ten podtrzymał karę – złożyła kasację.

NSA uznał jednak argumenty UODO. Zauważył przy tym, że wobec skali stwierdzonych uchybień administratora kara w przypadku podmiotu prywatnego byłaby dużo wyższa.

orzecznictwo

Wyrok Naczelnego Sądu Administracyjnego w Warszawie z 12 czerwca 2025 r., sygn. akt III OSK 1394/22 www.serwisy.gazetaprawna.pl/orzeczenia