Administrator danych powinien regularnie mierzyć i testować wdrożone środki bezpieczeństwa

Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki na decyzję Prezesa Urzędu Ochrony Danych Osobowych i potwierdził, że administrator danych już w dniu rozpoczęcia stosowania RODO, powinien regularnie mierzyć i testować wdrożone środki bezpieczeństwa. 

Sprawa rozpoczęła swój bieg w 2019 r. po zgłoszeniu przez administratora naruszenia ochrony danych osobowych dotyczącego abonentów usług „na kartę”, które polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych ponad 114 tys. klientów Virgin Mobile. Następnie Prezes UODO wszczął z urzędu postępowanie administracyjne w celu zbadania czy do naruszenia przepisów o ochronie danych osobowych doszło wskutek niewdrożenia odpowiednich środków technicznych i organizacyjnych.

W 2022 r. Prezes UODO wydał w sprawie decyzję administracyjną oraz nałożył na spółkę administracyjną karę pieniężną w wysokości 1 968 524 zł. Decyzja ta została jednak zaskarżona do Wojewódzkiego Sądu Administracyjnego w Warszawie. Po tym wyroku Prezes UODO ponownie zajął się tą sprawą. W kolejnej decyzji organ nadzorczy w szczegółowy sposób omówił przesłanki uzasadniające wysokość nałożonej kary i jednocześnie podtrzymał swoje dotychczasowe stanowisko w przedmiocie naruszenia przepisów RODO. Wysokość kary została ustalona ponownie na podstawie decyzji za rok obrotowy poprzedzający wydanie decyzji oraz wyniosła 1 599 395 zł.

Spółka jednak nie zgodziła się również z tym rozstrzygnięciem organu nadzorczego. Wniosła więc skargę do WSA na decyzję Prezesa UODO, którą sąd oddalił w całości.

Na ten wyrok WSA spółka złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego, który 7 maja 2026 roku uznał, że skarga nie zawierała usprawiedliwionych podstaw. Zarzuty w niej zawarte NSA uznał za chybione.

Zdaniem NSA organ nadzorczy przy ponownym rozpoznaniu sprawy prawidłowo ocenił przesłankę dotyczącą sposobu powzięcia wiedzy o naruszeniu ochrony danych osobowych, polegającą na zgłoszeniu tego naruszenia ochrony danych osobowych Prezesowi UODO. Zdaniem organu nadzorczego nie stanowiła ona okoliczności łagodzącej wymiar kary, gdyż ma charakter neutralny.

NSA potwierdził również, że organ nadzorczy poprawnie ustalił okres trwania naruszenia przepisów o ochronie danych osobowych – tzn. od dnia wejścia w życie RODO do daty uzyskania certyfikacji przez administratora (22 lipca 2020 r.). Sąd zgodził się ze stanowiskiem Prezesa UODO, że spółka już w dniu wejścia w życie RODO (25 maja 2018 r.) była zobowiązana do posiadania rozwiązań zapewniających regularne testowanie, mierzenie i ocenę skuteczności środków bezpieczeństwa przetwarzania danych osobowych.

Sygn. akt III OSK 2694/23
Sygn. akt II SA/Wa 272/21
DKN.5112.1.2020