Wyrok NSA z dnia 7 maja 2026 r., sygn. III OSK 2694/23
Naczelny Sąd Administracyjny w składzie: Przewodniczący: sędzia NSA Przemysław Szustakiewicz Sędziowie: sędzia NSA Mirosław Wincenciak (sprawozdawca) sędzia del. WSA Hanna Knysiak-Sudyka Protokolant: starszy asystent sędziego Magdalena Zając po rozpoznaniu w dniu 7 maja 2026 r. na rozprawie w Izbie Ogólnoadministracyjnej skargi kasacyjnej A. Sp. z o.o. z siedzibą w [...] od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 21 czerwca 2023 r. sygn. akt II SA/Wa 150/23 w sprawie ze skargi A. Sp. z o.o. z siedzibą w [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 listopada 2022 r. nr DKN.5112.1.2020.190235 w przedmiocie wymierzenia administracyjnej kary pieniężnej w związku z przetwarzaniem danych osobowych 1. oddala skargę kasacyjną; 2. zasądza od A. Sp. z o.o. z siedzibą w [...] na rzecz Prezesa Urzędu Ochrony Danych Osobowych kwotę 5400 (pięć tysięcy czterysta) złotych tytułem zwrotu kosztów postępowania kasacyjnego.
Uzasadnienie
Wojewódzki Sąd Administracyjny w Warszawie wyrokiem z dnia 21 czerwca 2023 r. sygn. akt II SA/Wa 150/23 oddalił skargę A. Sp. z o.o. z siedzibą [...] na decyzję Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 listopada 2022 r. nr DKN.5112.1.2020.190235 w przedmiocie ochrony danych osobowych.
U podstaw rozstrzygnięcia Sądu pierwszej instancji legły następujące ustalenia oraz ocena prawna.
B. Sp. z o.o. z siedzibą w Warszawie (dalej w skrócie: "Spółka B.") zgłosiła w dniu 24 grudnia 2019 r. Prezesowi Urzędu Ochrony Danych Osobowych (dalej w skrócie: "Prezes UODO" lub "organ") naruszenie ochrony danych osobowych abonentów usług przedpłaconych, polegające na uzyskaniu przez osobę nieuprawnioną dostępu do tych danych i pozyskaniu 142.222 rekordów potwierdzeń rejestracji usług przedpłaconych, zawierających dane osobowe 114.963 klientów w zakresie imienia i nazwiska, numeru PESEL, serii i numeru dowodu osobistego, numeru telefonu, NIP i nazwy podmiotu. Incydent ten miał miejsce od dnia 18 do dnia 22 grudnia 2019 r. W konsekwencji Prezes UODO zdecydował o przeprowadzeniu w Spółce B. kontroli zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych: rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – Dz. Urz. UE L 119 z dnia 4 maja 2016, str. 1 ze zm., dalej w skrócie: "RODO") oraz ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych (t.j.: Dz. U. z 2019 r., poz. 1781, dalej w skrócie: "u.o.d.o."). Organ ustalił, że przedmiotem działalności Spółki B. jest świadczenie usług w zakresie telekomunikacji bezprzewodowej. Podstawą prawną i celem przetwarzania danych osobowych w tej Spółce w procesie rejestracji usług przedpłaconych jest realizacja umowy na usługę telekomunikacyjną, zawieraną przez dokonanie czynności faktycznej: wysłanie SMS, MMS, pobranie danych bądź inicjację połączenia telefonicznego, w oparciu o ustawę z dnia 16 lipca 2014 r. Prawo telekomunikacyjne (t.j.: Dz. U. z 2019 r., poz. 2460, dalej w skrócie: "p.t."). W toku kontroli stwierdzono, że od dnia 18 do dnia 22 grudnia 2019 r. w Spółce B. doszło do incydentu wycieku danych osobowych, na skutek uzyskania nieuprawnionego dostępu do danych abonentów usług przedpłaconych przez wykorzystanie podatności systemu informatycznego – usługi generującej potwierdzenia dokonania rejestracji kart prepaid.
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
