14 godzin temu
Stan faktyczny
Sprawa trafiła do WSA w Warszawie na skutek skargi na decyzję Prezesa UODO z 20.12.2023 r., w której Organ nadzorczy stwierdził naruszenie przepisów RODO przez Ministra Zdrowia i nałożył administracyjną karę pieniężną. Przedmiotem kontroli Sądu była zatem legalność tej decyzji w świetle materiału dowodowego zgromadzonego w postępowaniu administracyjnym oraz obowiązujących przepisów prawa.
W toku postępowania sądowoadministracyjnego szczególnego znaczenia nabrał prawomocny wyrok Sądu karnego z września 2025 r., wydany w sprawie dotyczącej odpowiedzialności karnej osoby pełniącej funkcję Ministra Zdrowia. Jak wynikało z tego rozstrzygnięcia, Sąd karny ustalił, iż doszło do przekroczenia uprawnień przez funkcjonariusza publicznego poprzez ujawnienie, za pośrednictwem środków masowego komunikowania, danych osobowych o charakterze danych dotyczących zdrowia osobom nieuprawnionym. Ustalenia te dotyczyły ujawnienia danych oraz okoliczności ich wykorzystania.
WSA, odnosząc się do powyższych okoliczności, zaakcentował znaczenie prawomocnego wyroku Sądu karnego dla postępowania administracyjnego. Jak wynika również z komunikatu Prezesa UODO omawiającego sprawę, Sąd wskazał na zasadę związania organu administracyjnego ustaleniami faktycznymi wynikającymi z prawomocnego wyroku karnego. Oznacza to, iż organ ponownie rozpoznający sprawę nie może dowolnie kształtować ustaleń faktycznych w zakresie objętym tym wyrokiem, ale powinien je uwzględnić jako punkt odniesienia dla dalszej oceny prawnej.
Na tym tle WSA uznał, iż decyzja Prezesa UODO została wydana w stanie faktycznym, który, w chwili jej podejmowania, nie obejmował jeszcze ustaleń wynikających z późniejszego, prawomocnego rozstrzygnięcia Sądu karnego. W konsekwencji Sąd stwierdził, iż utrzymanie tej decyzji w obrocie prawnym bez ponownej oceny sprawy z uwzględnieniem nowych okoliczności byłoby niezasadne. Z tego względu decyzja została uchylona, a sprawa przekazana Prezesowi UODO do ponownego rozpoznania.
Jednocześnie WSA nie odniósł się w sposób rozstrzygający do zasadności samej kwalifikacji naruszeń RODO. Sąd nie zakwestionował także wprost ustaleń dotyczących charakteru danych i ich ujawnienia, koncentrując się na konieczności uwzględnienia wyroku karnego. Wskazał natomiast na konieczność ponownego przeanalizowania sprawy przy uwzględnieniu ustaleń Sądu karnego, które mogą mieć znaczenie dla oceny m.in. charakteru działania, stopnia zawinienia oraz ogólnej wagi naruszenia.
W praktyce oznacza to, iż ponowne postępowanie przed Prezesem UODO powinno uwzględniać nie tylko materiał dowodowy zgromadzony pierwotnie, ale także ustalenia wynikające z wyroku karnego, w zakresie, w jakim odnoszą się one do okoliczności faktycznych będących przedmiotem sprawy administracyjnej.
Stan prawny
Podstawą rozstrzygnięcia Prezesa UODO były w szczególności przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1), w tym:
- art. 5 ust. 1 lit. a i f oraz ust. 2 RODO (zasady zgodności z prawem, poufności i rozliczalności),
- art. 6 ust. 1 RODO (podstawa prawna przetwarzania),
- art. 9 ust. 1 RODO (zakaz przetwarzania danych szczególnych kategorii),
- art. 24, 25 i 32 RODO (środki techniczne i organizacyjne),
- art. 33 i 34 RODO (obowiązki w zakresie naruszeń ochrony danych).
Organ wskazał, iż dane ujawnione przez Ministra Zdrowia stanowiły dane dotyczące zdrowia, a więc szczególną kategorię danych osobowych w rozumieniu art. 9 ust. 1 RODO. Ich przetwarzanie wymaga spełnienia przesłanek określonych w art. 9 ust. 2 RODO, których w analizowanej sprawie nie wykazano.
Jednocześnie Prezes UODO podkreślił, iż dostęp do danych w systemie informacji w ochronie zdrowia jest ściśle związany z realizacją ustawowych zadań ministra adekwatnego do spraw zdrowia. Wykorzystanie tych danych w celach innych niż przewidziane w ustawie, w tym w celach komunikacji publicznej, zostało uznane za działanie bez podstawy prawnej.
W decyzji wskazano również na naruszenia w obszarze bezpieczeństwa danych, w tym brak adekwatnych środków organizacyjnych oraz niewłaściwą analizę ryzyka, a także na nieprawidłowe wykonanie obowiązków informacyjnych wobec osoby, której dane dotyczą.
Postępowanie przed WSA
Sprawa trafiła do WSA w Warszawie, który rozpoznawał skargę na decyzję Prezesa UODO.
W toku postępowania istotne znaczenie uzyskał prawomocny wyrok Sądu karnego z września 2025 r., wydany w sprawie dotyczącej odpowiedzialności karnej Ministra Zdrowia. Sąd karny ustalił, iż doszło do przekroczenia uprawnień przez funkcjonariusza publicznego, polegającego na ujawnieniu danych osobowych o charakterze danych dotyczących zdrowia osobom nieuprawnionym.
WSA, odnosząc się do tych ustaleń, wskazał, co podkreślono również w komunikacie Prezesa UODO omawiającym sprawę, iż organ administracyjny jest związany prawomocnym wyrokiem sądu karnego w zakresie ustaleń faktycznych.
W konsekwencji Sąd uznał, iż decyzja Prezesa UODO z grudnia 2023 r. została wydana bez uwzględnienia istotnych okoliczności wynikających z późniejszego rozstrzygnięcia sądu karnego. Z tego względu została ona uchylona, a sprawa przekazana do ponownego rozpoznania przez Organ nadzorczy.
WSA nie zakwestionował zasadniczo samej kwalifikacji naruszeń RODO, ale wskazał na konieczność ponownej oceny sprawy przy uwzględnieniu wiążących ustaleń Sądu karnego, które wpływają na ocenę charakteru i wagi naruszenia.
Znaczenie orzeczenia
Orzeczenie WSA ma istotne znaczenie dla praktyki stosowania przepisów o ochronie danych osobowych w kilku wymiarach.
Po pierwsze, potwierdza ono znaczenie prejudycjalne wyroków karnych w postępowaniach administracyjnych dotyczących naruszeń RODO. Ustalenia sądu karnego, w szczególności dotyczące bezprawności działania i jego charakteru, nie mogą być pomijane przez organ nadzorczy.
Po drugie, sprawa uwidacznia szczególny standard ochrony danych przetwarzanych w rejestrach publicznych, zwłaszcza danych medycznych. Ich wykorzystanie poza celami ustawowymi, choćby przez organ władzy publicznej, prowadzi do naruszenia podstawowych zasad RODO.
Po trzecie, orzeczenie akcentuje znaczenie adekwatnego wdrożenia środków organizacyjnych i procedur wewnętrznych, w tym kontroli dostępu do danych oraz formalizacji kanałów ich przekazywania.
Komentarz praktyczny
Z perspektywy praktyki stosowania prawa omawiane orzeczenie należy postrzegać przede wszystkim jako potwierdzenie, iż naruszenia ochrony danych osobowych mogą podlegać równoległej ocenie w różnych reżimach odpowiedzialności, administracyjnym i karnym, przy czym ustalenia w jednym z tych postępowań mogą determinować przebieg drugiego.
Dla administratorów danych, w tym podmiotów publicznych, najważniejszy wniosek jest następujący: dostęp do danych w ramach systemów publicznych nie oznacza swobody ich wykorzystania. Każde użycie danych musi mieścić się w granicach wyznaczonych przepisami prawa materialnego, w tym przepisami sektorowymi określającymi cele przetwarzania.
Znaczenie ma również aspekt organizacyjny. Sprawa pokazuje, iż brak formalnych procedur, niewystarczająca analiza ryzyka czy wykorzystywanie nieautoryzowanych kanałów komunikacji, mogą być kwalifikowane jako naruszenie obowiązków wynikających z art. 24, 25 i 32 RODO, niezależnie od samego faktu ujawnienia danych.
Wreszcie, orzeczenie wskazuje na konieczność rzetelnego wykonywania obowiązków związanych z naruszeniami ochrony danych, w szczególności obowiązku informowania osób, których dane dotyczą. Niedopełnienie tych obowiązków stanowi odrębne naruszenie i może wpływać na ocenę całokształtu sprawy.
W praktyce oznacza to, iż administratorzy powinni traktować zarządzanie incydentami jako integralny element systemu zgodności z RODO, a nie jedynie działanie następcze wobec naruszenia.
Wyrok WSA w Warszawie z 2.3.2026 r., II SA/Wa 285/24
