Wprowadzenie
Wyrokiem z dnia 7 maja 2026 r. Naczelny Sąd Administracyjny („NSA”) oddalił skargę kasacyjną administratora danych osobowych na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, który utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych („UODO”) nakładającą na administratora danych osobowych, administracyjną karę pieniężną za naruszenie przepisów o ochronie danych osobowych (sygn. akt III OSK 2694/23). Sprawa ta – choć toczy się od 2019 r. – ma dziś szczególne znaczenie praktyczne, ponieważ NSA jednoznacznie potwierdził stanowisko, że obowiązek regularnego testowania, mierzenia i oceniania skuteczności wdrożonych środków bezpieczeństwa (art. 32 ust. 1 lit. d rozporządzenia z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.Urz.UE.L 2016 Nr 119, str. 1, „RODO”) istniał już w dniu rozpoczęcia stosowania ogólnego rozporządzenia o ochronie danych, tj. od 25 maja 2018 r. i nie może być traktowany jako obowiązek drugorzędny wobec samego „posiadania” zabezpieczeń.
Dla praktyków ochrony danych osobowych – inspektorów ochrony danych, pełnomocników administratorów, działów compliance oraz osób odpowiedzialnych za bezpieczeństwo IT – rozstrzygnięcie to stanowi istotny sygnał: sam fakt wdrożenia procedur i zabezpieczeń technicznych nie wystarcza, jeżeli administrator nie jest w stanie wykazać, że ich skuteczność była systematycznie weryfikowana.
Stan faktyczny sprawy
Postępowanie zainicjowało zgłoszenie naruszenia ochrony danych osobowych, jakie w grudniu 2019 r. wpłynęło do Prezesa UODO od operatora telekomunikacyjnego świadczącego usługi w modelu przedpłaconym (prepaid). W wyniku wykorzystania podatności systemu informatycznego służącego do generowania potwierdzeń rejestracji kart prepaid, osoba nieuprawniona uzyskała dostęp do 142 222 rekordów potwierdzeń rejestracji, obejmujących dane osobowe 114 963, a finalnie – po korekcie zakresu przez administratora danych osobowych – 123 391 abonentów. Zakres danych był szeroki: imię i nazwisko, numer PESEL, seria i numer dokumentu tożsamości, numer telefonu, a w przypadku podmiotów niebędących osobami fizycznymi – również NIP.
Prezes UODO przeprowadził kontrolę zgodności przetwarzania z RODO, w toku której ustalił, że stwierdzona podatność polegała na braku właściwej weryfikacji parametrów żądania generującego potwierdzenie rejestracji – system centralny nie sprawdzał w sposób prawidłowy, czy dany wniosek pochodzi od uprawnionego podmiotu. Kluczowe dla całej sprawy było jednak nie samo istnienie podatności (błędy w systemach IT się zdarzają), lecz to, że – jak wykazało postępowanie – administrator danych osobowych nie prowadził kompleksowego, regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków technicznych i organizacyjnych. Działania weryfikacyjne podejmowano wyłącznie reaktywnie, w sytuacji gdy pojawiało się konkretne podejrzenie istnienia podatności, a przeglądy środków bezpieczeństwa odbywały się jedynie w związku ze zmianami organizacyjnymi lub prawnymi – nie zaś w sposób zaplanowany i cykliczny.
Podstawa prawna decyzji i kluczowe ustalenia Prezesa UODO
Prezes UODO oparł decyzję na naruszeniu kilku ściśle powiązanych przepisów RODO, tj. art. 5 ust. 1 lit. f RODO (zasada integralności i poufności danych), art. 5 ust. 2 RODO (zasada rozliczalności), art. 24 ust. 1 RODO (ogólny obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych), art. 25 ust. 1 RODO (uwzględnianie ochrony danych w fazie projektowania i domyślnej ochrony danych), art. 32 ust. 1 lit. b i lit. d oraz art. 32 ust. 2 RODO (obowiązek zapewnienia bezpieczeństwa przetwarzania, w tym zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków bezpieczeństwa).
Warto zwrócić uwagę, że organ nadzorczy nie ograniczył się do stwierdzenia, że doszło do naruszenia poufności danych w wyniku udanego ataku. Punktem wyjścia całej decyzji było wykazanie, że regularne testowanie stanowi samodzielny, odrębny obowiązek administratora, którego niewykonanie stanowi naruszenie RODO niezależnie od tego, czy administrator posiadał jakiekolwiek środki bezpieczeństwa „na papierze”. W ocenie Prezesa UODO przyjęte przez administratora danych osobowych procedury – polityka przetwarzania danych osobowych, procedury zarządzania systemem informatycznym, plany ciągłości działania – mogłyby okazać się skuteczne, gdyby zawierały uregulowania dotyczące regularnego testowania, mierzenia i oceniania skuteczności zastosowanych środków. Tymczasem tego rodzaju mechanizmów w dokumentacji administratora danych osobowych po prostu nie było.
Istotnym elementem uzasadnienia jest rozróżnienie między przeglądami ad hoc – podejmowanymi w razie zmiany organizacyjnej, prawnej lub podejrzenia podatności, oraz regularnym testowaniem w rozumieniu art. 32 ust. 1 lit. d RODO – które musi być świadomie zaplanowane, zorganizowane w określonych, cyklicznych przedziałach czasowych oraz udokumentowane, niezależnie od tego, czy w danym okresie doszło do jakichkolwiek zmian w organizacji przetwarzania.
Prezes UODO wprost wskazał, że działania podejmowane wyłącznie w reakcji na podejrzenie zaistnienia podatności mają w istocie charakter analizy ryzyka związanej z konkretnym zdarzeniem, a nie realizacji obowiązku regularnego testowania. To rozróżnienie ma fundamentalne znaczenie praktyczne – wielu administratorów błędnie przyjmuje, że przeglądy „w razie potrzeby” wyczerpują wymóg z art. 32 ust. 1 lit. d RODO
Drugim istotnym wątkiem decyzji jest ocena analizy ryzyka przeprowadzonej przez administratora danych osobowych w maju 2018 r., tj. w dniu rozpoczęcia stosowania RODO. Organ nadzorczy wykazał, że analiza ta była powierzchowna – zagrożenie związane z nieuprawnionym dostępem do danych oceniono jako mało prawdopodobne, a badanie podatności systemów informatycznych oznaczono niską wagą, mimo że – jak się później okazało – to właśnie ten scenariusz się zmaterializował. Prezes UODO podkreślił zasadę, zgodną z ugruntowanym podejściem opartym na analizie ryzyka (risk-based approach), że brak wystąpienia zdarzenia w przeszłości nie uzasadnia niskiej oceny prawdopodobieństwa jego wystąpienia w przyszłości. Ponadto analiza ryzyka nie była aktualizowana przez ponad półtora roku – od maja 2018 r. do momentu wystąpienia naruszenia w grudniu 2019 r. – co samo w sobie stanowiło zaniedbanie, niezależnie od skutków, jakie z tego wynikły.
Na uwagę zasługuje również sposób, w jaki organ nadzorczy odniósł się do argumentacji administratora danych osobowych dotyczącej zmiany dostawcy usług IT (podmiotu obsługującego systemy centralne) w 2017 r. Prezes UODO wskazał, że taka zmiana operatora powinna pociągać za sobą kompleksową ocenę skuteczności wdrożonych rozwiązań technicznych i organizacyjnych – a materiał dowodowy nie wykazał, by taka ocena została w tym przypadku przeprowadzona. Jest to istotna wskazówka dla administratorów korzystających z outsourcingu IT: zmiana podmiotu przetwarzającego lub dostawcy technologii nie jest wyłącznie kwestią kontraktową, lecz zdarzeniem, które powinno aktywować proces ponownej weryfikacji bezpieczeństwa.
Argumentacja administratora danych osobowych
Administrator danych osobowych bronił się na kilku płaszczyznach. Po pierwsze, wskazywał na krótki, trzydziestodniowy termin na wdrożenie obowiązku rejestracji danych abonentów usług przedpłaconych, wynikający z ustawy antyterrorystycznej z 2016 r., podnosząc, że presja czasowa zwiększyła ryzyko błędów. Prezes UODO odrzucił ten argument, wskazując, że ustawa antyterrorystyczna weszła w życie już po wejściu w życie RODO (które – choć stosowane od 25 maja 2018 r. – formalnie obowiązywało od 24 maja 2016 r.), a zatem obowiązki z art. 25 RODO powinny być uwzględnione już na etapie wdrażania zmian systemowych wynikających z nowej ustawy.
Po drugie, administrator danych osobowych twierdził, że prowadził „liczne testy, pomiary i oceny” systemu oraz że ryzyko było „stale oceniane”. Organ nadzorczy nie zgodził się z tą oceną, wskazując, że wykrycie wykorzystanej podatności nie wymagało żadnej wiedzy specjalistycznej ani znaczących nakładów finansowych – wystarczyłoby zweryfikowanie podstawowej logiki działania systemu. Brak takiej elementarnej weryfikacji uznano za rażące zaniedbanie podstawowych obowiązków administratora.
Po trzecie, administrator danych osobowych podnosił, że ustalenie, czy faktycznie doszło do udostępnienia danych osobie nieuprawnionej, leży w kompetencji Prezesa UODO, nie zaś organów ścigania (które umorzyły postępowanie z powodu niewykrycia sprawcy). Prezes UODO trafnie rozgraniczył tu kompetencje: ustalenie sprawcy przestępstwa i jego kwalifikacji prawnej należy do prokuratury, natomiast ocena, czy administrator przetwarzał dane zgodnie z RODO i czy zapewnił odpowiednie środki bezpieczeństwa, jest wyłączną kompetencją organu nadzorczego – niezależnie od wyniku postępowania karnego.
Wreszcie, administrator danych osobowych powołał się na uzyskane w lipcu 2020 r. certyfikaty ISO/IEC 27001:2013 oraz ISO/IEC 27701:2019, argumentując, że potwierdzają one wdrożenie odpowiednich mechanizmów zarządzania bezpieczeństwem informacji. Prezes UODO uznał ten argument częściowo – przyznał, że uzyskanie certyfikatów usunęło stwierdzone uchybienie proceduralne, jednak zauważył, że nastąpiło to dopiero po znacznym czasie od wystąpienia naruszenia, co miało wpływ na ocenę czasu trwania naruszenia jako okoliczności obciążającej przy wymiarze kary, a nie na sam fakt jego zaistnienia.
Wymiar kary i kryteria z art. 83 ust. 2 RODO
Prezes UODO nałożył na administratora danych osobowych karę w wysokości 1 968 524 zł (równowartość 460 000 EUR według kursu z 28 stycznia 2020 r.), stosując jednocześnie górne granice ustawowe z art. 83 ust. 4 lit. a RODO (do 10 mln EUR lub 2% obrotu) oraz art. 83 ust. 5 lit. a RODO (do 20 mln EUR lub 4% obrotu) – z uwzględnieniem zasady, że przy zbiegu naruszeń stosuje się karę odpowiadającą najpoważniejszemu z nich, tj. w tym przypadku naruszeniu zasady poufności i rozliczalności z art. 5 RODO.
Jako okoliczności obciążające organ wskazał: wagę i charakter naruszenia oraz dużą liczbę poszkodowanych osób (123 391 abonentów), długi czas trwania stanu naruszenia (od maja 2018 r. do lipca 2020 r.) oraz nieumyślny, lecz rażący charakter zaniedbania. Jako okoliczność łagodzącą uwzględniono dobrą współpracę administratora z organem nadzorczym w toku postępowania oraz szybkie wdrożenie działań naprawczych, w tym uzyskanie certyfikatów ISO.
Warto odnotować, że decyzja z 2020 r. została następnie zaskarżona do Wojewódzkiego Sądu Administracyjnego („WSA”) w Warszawie, a po korzystnym dla administratora danych osobowych wyroku, Prezes UODO wydał kolejną decyzję, w której – utrzymując ocenę naruszenia RODO – ustalił wysokość kary ponownie, tym razem na podstawie danych finansowych za rok obrotowy poprzedzający wydanie nowej decyzji, na poziomie 1 599 395 zł. To odesłanie do aktualnych danych finansowych administratora przy ponownym ustalaniu wysokości kary jest istotne proceduralnie – wskazuje, że sądy administracyjne oczekują od organu nadzorczego przeliczenia sankcji na podstawie możliwie aktualnych wskaźników ekonomicznych podmiotu karanego, a nie mechanicznego powtórzenia wcześniejszych ustaleń.
Stanowisko WSA i NSA
Skarga administratora danych osobowych na decyzję Prezesa UODO w drugiej odsłonie postępowania została oddalona przez WSA w Warszawie w całości, a następnie – po wniesieniu skargi kasacyjnej – Naczelny Sąd Administracyjny wyrokiem z 7 maja 2026 r. (III OSK 2694/23) uznał, że zarzuty kasacyjne są chybione. Dla praktyki kluczowe są dwa elementy tego rozstrzygnięcia.
Po pierwsze, NSA potwierdził, że sam fakt zgłoszenia naruszenia Prezesowi UODO przez administratora nie stanowi okoliczności łagodzącej przy wymiarze kary, ponieważ ma ona charakter neutralny – jest to bowiem realizacja ustawowego obowiązku notyfikacyjnego z art. 33 RODO, a nie przejaw dobrowolnej, ponadstandardowej współpracy. To ważna wskazówka dla administratorów, którzy w praktyce często traktują samo zgłoszenie naruszenia jako argument mogący obniżyć wymiar sankcji – zgodnie z ugruntowanym już stanowiskiem sądów administracyjnych, taki argument sam w sobie nie wystarcza.
Po drugie i najważniejsze, NSA jednoznacznie potwierdził, że administrator był zobowiązany do posiadania rozwiązań zapewniających regularne testowanie, mierzenie i ocenę skuteczności środków bezpieczeństwa przetwarzania danych osobowych już w dniu wejścia w życie RODO, tj. od 25 maja 2018 r., a okres trwania naruszenia trwał do dnia uzyskania przez administratora odpowiedniej certyfikacji (22 lipca 2020 r.). To rozstrzygnięcie sądu kasacyjnego zamyka spór o to, od jakiego momentu administratorzy byli związani tym obowiązkiem – nie było to zagadnienie nowe czy ewoluujące w czasie, lecz obowiązek istniejący od samego początku stosowania rozporządzenia.
Praktyczne wnioski dla administratorów danych
Z analizowanej sprawy oraz z jej finalnego rozstrzygnięcia przez NSA wynika kilka wniosków o charakterze uniwersalnym, istotnych dla każdego administratora, niezależnie od branży:
1. Posiadanie zabezpieczeń nie jest równoznaczne z ich testowaniem.
Administrator musi być w stanie wykazać nie tylko dobór środków technicznych i organizacyjnych, lecz również systematyczny, zaplanowany i udokumentowany proces weryfikacji ich skuteczności – w regularnych odstępach czasu, niezależnie od tego, czy w danym okresie doszło do zmian organizacyjnych lub prawnych.
2. Przeglądy reaktywne nie zastępują testów regularnych.
Podejmowanie działań weryfikacyjnych wyłącznie w reakcji na podejrzenie podatności lub w związku ze zmianą w organizacji nie wypełnia wymogu z art. 32 ust. 1 lit. d RODO – ma charakter analizy ryzyka związanej z konkretnym zdarzeniem, a nie realizacji obowiązku ciągłego monitorowania bezpieczeństwa.
3. Analiza ryzyka wymaga rzetelności i aktualizacji.
Ocena prawdopodobieństwa wystąpienia zdarzenia nie może opierać się jedynie na jego dotychczasowej częstotliwości. Analiza ryzyka nieaktualizowana przez dłuższy czas (w analizowanej sprawie – ponad półtora roku) sama w sobie stanowi naruszenie obowiązków administratora, niezależnie od tego, czy w tym czasie doszło do incydentu.
4. Zmiana dostawcy IT lub podmiotu przetwarzającego powinna aktywować pełną weryfikację bezpieczeństwa.
Przejęcie obsługi systemów przez nowy podmiot nie jest wyłącznie zdarzeniem operacyjnym – z perspektywy RODO stanowi moment, w którym administrator powinien przeprowadzić kompleksową ocenę skuteczności wdrożonych rozwiązań.
5. Certyfikacja (np. ISO/IEC 27001, ISO/IEC 27701) może usunąć uchybienie proceduralne, ale nie działa retroaktywnie.
Wdrożenie systemu zarządzania bezpieczeństwem informacji potwierdzonego certyfikatem jest istotnym argumentem w toku postępowania, jednak jeżeli nastąpiło po wystąpieniu naruszenia, wpływa jedynie na ocenę czasu trwania naruszenia jako okoliczności przy wymiarze kary, nie zaś na sam fakt jego zaistnienia.
6. Zgłoszenie naruszenia Prezesowi UODO nie jest okolicznością łagodzącą.
Wypełnienie obowiązku notyfikacyjnego z art. 33 RODO ma charakter neutralny przy ocenie wymiaru kary – nie należy go traktować jako formy „premiowanej” współpracy z organem nadzorczym
7. Rozliczalność (art. 5 ust. 2 RODO) oznacza obowiązek udokumentowania, nie tylko wdrożenia.
Brak dokumentacji potwierdzającej regularność testowania – nawet jeśli faktycznie pewne działania weryfikacyjne były podejmowane – utrudnia administratorowi wykazanie zgodności z RODO przed organem nadzorczym i sądem.
Podsumowanie
Z perspektywy praktyki compliance wydany wyrok oznacza konieczność przejścia od modelu „wdrożyliśmy zabezpieczenia i przeglądamy je w razie potrzeby” do modelu opartego na cyklicznym, zaplanowanym i udokumentowanym harmonogramie testów bezpieczeństwa – audytów wewnętrznych, testów penetracyjnych, przeglądów kierowniczych – prowadzonych niezależnie od tego, czy w danym okresie wystąpiły zmiany organizacyjne, prawne czy incydenty bezpieczeństwa. W dobie rosnącej liczby postępowań kontrolnych UODO oraz utrwalającej się linii orzeczniczej sądów administracyjnych, inwestycja w taki systematyczny proces weryfikacji bezpieczeństwa powinna być traktowana nie jako dobra praktyka, lecz jako element ustawowego obowiązku, którego zaniechanie wiąże się z realnym ryzykiem sankcji finansowej.


.png)
