Decyzja o odpowiedzialności administratora danych osobowych - Wyrok NSA z dnia 7 lutego 2025 r., sygn. III OSK 6801/21
Administrator danych osobowych, działając w charakterze pracodawcy, odpowiada za naruszenia przepisów ochrony danych osobowych, nawet jeśli bezpośrednio związane z naruszeniem działania wykonywane były przez pracownika. W przypadku braku wdrożenia odpowiednich środków organizacyjnych i technicznych zapewniających zgodność z RODO, odpowiedzialność ponosi administrator, który musi zapewnić prawidłową kontrolę nad procesem przetwarzania danych.
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Wojciech Jakimowicz Sędziowie: sędzia NSA Olga Żurawska-Matusiak sędzia del. WSA Hanna Knysiak-Sudyka (spr.) Protokolant: asystent sędziego Aleksandra Kraus po rozpoznaniu w dniu 7 lutego 2025 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 maja 2021 r. sygn. akt II SA/Wa 2129/20 w sprawie ze skargi Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 21 sierpnia 2020 r., nr ZSOŚS.421.25.2019.88353 w przedmiocie przetwarzania danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 2700 (dwa tysiące siedemset) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 13 maja 2021 r. sygn. akt II SA/Wa 2129/20 oddalił skargę Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia [...] r. nr [...] w przedmiocie przetwarzania danych osobowych.
Wyrok zapadł w następującym stanie faktycznym i prawnym sprawy.
Prezes Urzędu Ochrony Danych Osobowych (dalej: "Prezes UODO", "organ") decyzją z [...] r. nr [...], działając na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 z późn. zm., zwana dalej: "k.p.a."), art. 7 ust. 1, art. 60, art. 102 ust. 1 i ust. 3 ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a, art. 58 ust. 2 lit. d oraz lit. i w zw. z art. 5 ust. 1 lit. e i lit. f, art. 5 ust. 2, art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 lit. b. i lit. d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2, art. 30 ust. 1 lit. d, i art. 83 ust. 1 - 3, art. 83 ust. 4 lit. a i art. 83 ust. 5 lit. a rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, ze zm., zwane dalej: "rozporządzenie 2016/679") stwierdził naruszenie przez skarżącą przepisów art. 5 ust. 1 lit. e, art. 5 ust. 1 lit. f, art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1 lit. b, art. 32 ust. 1 lit. d, art. 32 ust. 2, art. 38 ust. 1, art. 39 ust. 1 lit. b i art. 39 ust. 2 rozporządzenia RODO i nałożył na skarżącą karę pieniężną w wysokości 50.000 zł oraz w pozostałym zakresie postępowanie umorzył.
POTRZEBUJESZ POMOCY?
