Stan faktyczny sprawy

Sprawa ma swoje źródło w wydarzeniach z sierpnia 2023 r., kiedy ówczesny Minister Zdrowia opublikował na portalu X informacje dotyczące lekarza, obejmujące dane dotyczące zdrowia, a więc dane szczególnej kategorii w rozumieniu art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Dane te zostały pozyskane z Systemu Informacji Medycznej (SIM), do którego minister posiadał dostęp w związku z pełnioną funkcją publiczną.

W grudniu 2023 r. Prezes UODO wydał decyzję administracyjną (DKN.5131.32.2023), w której uznał, że doszło do naruszenia przepisów o ochronie danych osobowych i nałożył na Ministra Zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł. Organ nadzorczy przyjął, że administratorem danych pozostawał Minister Zdrowia jako organ administracji publicznej odpowiedzialny za proces przetwarzania danych w systemie.

Równolegle prowadzone było postępowanie karne przeciwko Adamowi Niedzielskiemu. We wrześniu 2025 r. zapadł prawomocny wyrok sądu karnego, w którym uznano byłego ministra za winnego przekroczenia uprawnień oraz naruszenia przepisów o ochronie danych osobowych poprzez ujawnienie danych pochodzących z SIM osobom nieuprawnionym.

Następnie sprawa trafiła do Wojewódzkiego Sądu Administracyjnego w Warszawie. Wyrokiem z 2.3.2026 r., II SA/Wa 285/24, Legalis, sąd uchylił decyzję Prezesa UODO. W ustnym uzasadnieniu WSA wskazał, że jest związany ustaleniami prawomocnego wyroku sądu karnego. Zdaniem sądu okoliczność, iż odpowiedzialność za ujawnienie danych została przypisana konkretnej osobie fizycznej, wpływa na ocenę odpowiedzialności administracyjnej w sprawie.

WSA uznał, że odpowiedzialność za naruszenie ponosi osoba fizyczna – Adam Niedzielski – a nie organ administracji publicznej jako administrator danych. W konsekwencji sąd uchylił decyzję Prezesa UODO, wskazując na konieczność ponownego rozpatrzenia sprawy z uwzględnieniem ustaleń wynikających z wyroku karnego.

Spór o zakres odpowiedzialności administratora danych

Prezes UODO nie zgodził się z takim stanowiskiem i wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego. W ocenie organu nadzorczego, WSA dokonał nieprawidłowego utożsamienia dwóch odrębnych reżimów odpowiedzialności prawnej – odpowiedzialności karnej osoby fizycznej oraz odpowiedzialności administracyjnoprawnej administratora danych.

W skardze kasacyjnej wskazano, że prawomocny wyrok sądu karnego rozstrzyga wyłącznie o odpowiedzialności konkretnej osoby za popełnienie czynu zabronionego. Nie przesądza natomiast o tym, kto pozostaje administratorem danych osobowych w rozumieniu art. 4 pkt 7 RODO ani kto odpowiada za zgodność procesu przetwarzania danych z przepisami rozporządzenia.

Prezes UODO podkreśla, że decyzja z grudnia 2023 r. nie odnosiła się wyłącznie do samego aktu publikacji danych osobowych w mediach społecznościowych. Organ analizował cały proces przetwarzania danych, obejmujący dostęp do danych w SIM, kwestie bezpieczeństwa systemu, sposób korzystania z danych oraz reakcję na incydent naruszenia ochrony danych osobowych.

W ocenie organu nadzorczego są to obowiązki o charakterze systemowym, które obciążają administratora danych, a nie wyłącznie konkretną osobę fizyczną działającą w strukturze organizacyjnej administratora.

Nowe technologie – Sprawdź aktualną listę szkoleń Sprawdź

Znaczenie art. 11 PostAdmU i związania ustaleniami wyroku karnego

Jednym z centralnych zagadnień sprawy pozostaje zakres związania sądu administracyjnego ustaleniami prawomocnego wyroku karnego na podstawie art. 11 ustawy z 30.8.2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (t.j. Dz.U. z 2026 r. poz. 143; dalej: PostAdmU).

Prezes UODO argumentuje, że przepis ten obejmuje jedynie ustalenia dotyczące osoby sprawcy, przebiegu czynu oraz jego kwalifikacji karnej. Nie rozciąga się natomiast na ocenę odpowiedzialności administracyjnej wynikającej z przepisów RODO ani na ustalenie statusu administratora danych.

Zdaniem organu WSA błędnie potraktował wyrok karny jako przesądzający również o odpowiedzialności administracyjnej za naruszenie przepisów o ochronie danych osobowych. Tymczasem oba reżimy odpowiedzialności funkcjonują autonomicznie i mogą być stosowane równolegle.

Prezes UODO wskazuje również, że działania ówczesnego Ministra Zdrowia były nierozerwalnie związane z pełnioną funkcją. Dostęp do danych zawartych w SIM wynikał wyłącznie z wykonywania kompetencji publicznych, a nie z aktywności prywatnej. W ocenie organu, nie można więc całkowicie oddzielić działań osoby fizycznej od działania organu administracji publicznej jako administratora danych.

Możliwe skutki systemowe rozstrzygnięcia

W skardze kasacyjnej Prezes UODO zwrócił uwagę na potencjalne konsekwencje systemowe przyjęcia stanowiska zaprezentowanego przez WSA. Organ nadzorczy podnosi, że taka interpretacja mogłaby prowadzić do ograniczenia odpowiedzialności administracyjnej organów publicznych za naruszenia ochrony danych osobowych.

Gdyby uznać, że przekroczenie uprawnień przez osobę działającą w strukturze organu wyłącza odpowiedzialność samego administratora, mogłoby to prowadzić do sytuacji, w której organy publiczne unikałyby odpowiedzialności za niezgodne z prawem przetwarzanie danych poprzez powoływanie się na indywidualne działania swoich przedstawicieli.

Prezes UODO przypomina przy tym, że odpowiedzialność administratora danych w systemie RODO ma charakter obiektywny. Obejmuje ona także przypadki, w których naruszenia dopuszczają się osoby działające w strukturze administratora lub korzystające z przyznanych im uprawnień w ramach wykonywania funkcji publicznych.

Organ podkreśla również, że przepisy RODO nakładają na administratorów obowiązki związane m.in. z wdrażaniem odpowiednich środków technicznych i organizacyjnych, zapewnieniem bezpieczeństwa danych oraz prawidłowym reagowaniem na incydenty naruszenia ochrony danych. Są to obowiązki odnoszące się do funkcjonowania całej organizacji, których nie można sprowadzić wyłącznie do odpowiedzialności konkretnej osoby fizycznej.

Zarzuty dotyczące uzasadnienia wyroku WSA

W skardze kasacyjnej podniesiono również zarzuty dotyczące sposobu sporządzenia uzasadnienia wyroku przez Wojewódzki Sąd Administracyjny. Zdaniem Prezesa UODO uzasadnienie ma charakter lakoniczny i nie pozwala na odtworzenie pełnego toku rozumowania sądu.

Organ wskazuje, że WSA nie wyjaśnił w sposób pogłębiony, dlaczego ustalenie odpowiedzialności karnej osoby fizycznej miałoby automatycznie eliminować odpowiedzialność administratora danych w reżimie administracyjnym. W ocenie Prezesa UODO może to stanowić naruszenie art. 141 § 4 PostAdmU, wymagającego przedstawienia pełnej argumentacji prawnej umożliwiającej kontrolę instancyjną wyroku.

Prezes UODO wniósł o uchylenie wyroku WSA w całości oraz rozpoznanie sprawy przez Naczelny Sąd Administracyjny.

Komentarz

Sprawa Ministra Zdrowia może okazać się jednym z istotniejszych krajowych sporów dotyczących granic odpowiedzialności administratora danych w sektorze publicznym. Kluczowe znaczenie będzie miało rozstrzygnięcie, czy przekroczenie uprawnień przez funkcjonariusza publicznego wyłącza odpowiedzialność organu administracji jako administratora danych osobowych.

Z praktycznego punktu widzenia stanowisko prezentowane przez Prezesa UODO wydaje się spójne z konstrukcją odpowiedzialności przyjętą w RODO. System ochrony danych osobowych opiera się bowiem na założeniu, że administrator odpowiada za organizację procesu przetwarzania danych, bezpieczeństwo systemów oraz działania osób funkcjonujących w jego strukturze organizacyjnej. Odpowiedzialność ta nie ogranicza się wyłącznie do działań formalnie zgodnych z zakresem kompetencji poszczególnych pracowników lub funkcjonariuszy.

Ewentualne utrzymanie stanowiska WSA mogłoby mieć znaczenie wykraczające poza samą sprawę Ministra Zdrowia. W praktyce mogłoby prowadzić do prób przenoszenia odpowiedzialności za incydenty ochrony danych z administratorów na konkretne osoby fizyczne, zwłaszcza w sektorze publicznym. Taki kierunek interpretacyjny mógłby utrudnić dochodzenie praw przez osoby, których dane dotyczą, a także osłabić funkcję gwarancyjną odpowiedzialności administracyjnej przewidzianej w RODO.

Ostateczne stanowisko Naczelnego Sądu Administracyjnego będzie więc istotne nie tylko dla praktyki organu nadzorczego, ale również dla określenia granic odpowiedzialności administracji publicznej za przetwarzanie danych osobowych w ramach systemów państwowych.

Wyrok WSA z 2.3.2026 r., II SA/Wa 285/24, Legalis

Wszystkie aktualności n.ius® po zalogowaniu. Nie posiadasz dostępu? Kup online, korzystaj od razu! Sprawdź

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →