NSA utrzymał karę nałożoną przez Prezesa UODO na właściciela kliniki stomatologicznej za niewykonanie prawomocnego nakazu zawiadomienia pacjentów o naruszeniu ich danych osobowych. Wyrok z 24 listopada 2025 r. kończy kilkuletni spór dotyczący zakresu obowiązków administratora i momentu, w którym organ nadzorczy ocenia wykonanie decyzji.
Z tego artykułu dowiesz się…
- Jak doszło do nałożenia kary w wysokości 85 588 zł na właściciela kliniki stomatologicznej.
- Dlaczego NSA uznał, że administrator nie wykonał decyzji Prezesa UODO w wymaganym terminie.
- Jakie znaczenie ma zasada rozliczalności w procesie dokumentowania naruszeń danych osobowych.
- W jakich sytuacjach UODO może częściej stosować dotkliwe administracyjne kary pieniężne.
Postępowanie po incydencie naruszenia danych – początek sprawy
Spór rozpoczął się w lipcu 2019 r., kiedy właściciel kliniki stomatologicznej zgłosił naruszenie ochrony danych osobowych. Dane pacjentów zostały skopiowane przez byłego pracownika, który zamierzał wykorzystać je do działań marketingowych związanych z własną działalnością. Po analizie naruszenia Prezes Urzędu nakazał przedsiębiorcy poinformowanie wszystkich osób, których danych dotyczyła sprawa.
W kolejnych miesiącach organ prowadził postępowanie sprawdzające wykonanie decyzji. Przedsiębiorca nie odpowiadał na wezwania o przedstawienie dowodów, a późniejsze wyjaśnienia były nieprecyzyjne i sprzeczne – m.in. wskazywał, że nie zna liczby osób, których dane wyciekły, lub że nie wie, jak wykonać nałożony obowiązek. Według UODO przedsiębiorca błędnie twierdził również, że zawiadomienia powinien wysłać organ nadzorczy.
Nieprzekonujące dowody i kara finansowa
W pewnym momencie administrator przedstawił dowody w postaci faktury za zakup 37 znaczków pocztowych oraz oświadczenia osoby podającej się za pracownika poczty – miało to potwierdzać wysłanie zawiadomień listami nierejestrowanymi. UODO uznał jednak, że nie są to wiarygodne dokumenty potwierdzające prawidłowe powiadomienie pacjentów o naruszeniu. W związku z niewykonaniem nakazu decyzją administracyjną nałożono na przedsiębiorcę karę w wysokości 85 588 zł.
Co istotne, dopiero po doręczeniu decyzji o karze przedsiębiorca przesłał potwierdzone kopie pism i dowody nadania przesyłek poleconych. Dokumenty te potwierdzały wykonanie obowiązku, jednak – jak wskazał później sąd – zostały przedłożone już po wydaniu decyzji i nie mogły wpływać na ocenę organu.
Sprawa trafia do sądów administracyjnych
Przedsiębiorca zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, wskazując m.in. na niepełne ustalenie stanu faktycznego oraz niewspółmierną wysokość kary. WSA w listopadzie 2021 r. oddalił skargę, uznając, że decyzja Prezesa UODO była zgodna z prawem.
Właściciel kliniki wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego. Argumentował, że przedstawił „bezsporne dowody” wykonania decyzji.
Wyrok NSA: obowiązki administratora są jednoznaczne
NSA w wyroku z 24 listopada 2025 r. (sygn. III OSK 2183/22) nie podzielił argumentów przedsiębiorcy. Sąd wskazał, że organ nadzorczy ocenia wykonanie obowiązków w stanie faktycznym istniejącym w dniu wydania decyzji, a w tym momencie administrator nie wykazał, że zawiadomił osoby dotknięte naruszeniem. Dodatkowo sąd przypomniał o zasadzie rozliczalności – to administrator ma obowiązek nie tylko wykonać nakaz, ale również posiadać i przedstawić dowody, że zrobił to w sposób rzetelny.
NSA potwierdził tym samym trafność decyzji Prezesa UODO oraz właściwe zastosowanie kary finansowej.
Będzie więcej kar finansowych?
Organ nadzorczy, informując o wyroku, zwrócił uwagę na specyficzny środek naprawczy, jakim jest administracyjna kara pieniężna za nieprzestrzeganie nakazu wydanego przez UODO. To narzędzie pozostaje niezależne od środków egzekucyjnych określonych w ustawie o postępowaniu egzekucyjnym w administracji. Jak podkreśla urząd, kara ta jest bardziej dotkliwa niż grzywny stosowane w ramach egzekucji i będzie stosowana wobec administratorów, którzy celowo, uporczywie lub lekceważąco nie wykonują decyzji organu.
Główne wnioski
- Naczelny Sąd Administracyjny utrzymał karę 85 588 zł za niewykonanie przez administratora nakazu Prezesa UODO dotyczącego zawiadomienia pacjentów o naruszeniu ich danych osobowych.
- Sąd potwierdził, że organ nadzorczy ocenia wykonanie decyzji według stanu z dnia jej wydania, a spóźnione działania administratora nie mogą wpływać na rozstrzygnięcie.
- Zasada rozliczalności obliguje administratora do posiadania i przedstawienia wiarygodnych dowodów wykonania obowiązków – czego w tej sprawie zabrakło.
- UODO zapowiada większe wykorzystanie kary za nieprzestrzeganie nakazu organu, która jest bardziej dotkliwa niż administracyjne grzywny w celu przymuszenia.
Źródło:
- https://uodo.gov.pl/pl/138/4065
