Prezes UODO wniósł skargę kasacyjną od wyroku WSA ws. Ministra Zdrowia

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski wniósł skargę kasacyjną od wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie z 2 marca 2026 r., który uchylił decyzję organu nadzorczego w sprawie naruszenia przepisów o ochronie danych osobowych przez Ministra Zdrowia.

Sprawa dotyczy ujawnienia danych osobowych lekarza przez Ministra Zdrowia Adama Niedzielskiego, który w sierpniu 2023 r. na portalu X opublikował informacje zawierające dane dotyczące zdrowia (dane szczególnej kategorii w rozumieniu RODO). Dane osobowe lekarza zostały pozyskane z Systemu Informacji Medycznej (SIM). W grudniu 2023 r. Prezes UODO nałożył na Ministra Zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł. Z kolei we wrześniu 2025 r. sąd karny prawomocnie uznał Adama Niedzielskiego za winnego przekroczenia uprawnień oraz naruszenia przepisów o ochronie danych osobowych.

O decyzji Prezesa UODO informowaliśmy na stronie UODO w komunikacie:

https://www.uodo.gov.pl/pl/138/2941 

2 marca 2026 r. w powyższej sprawie odbyła się rozprawa przed Wojewódzkim Sądem Administracyjnym w Warszawie. WSA w ustnym uzasadnieniu wyroku powołał się na związanie Sądu prawomocnym wyrokiem sądu karnego z 2025 r.: wynikało z niego, iż Adam Niedzielski działając jako funkcjonariusz publiczny – minister właściwy ds. zdrowia – przekroczył swoje uprawnienia poprzez ujawnienie za pośrednictwem środków masowego komunikowania osobom nieuprawnionym pozyskane z SIM informacje w postaci danych osobowych o charakterze danych szczególnej kategorii dot. zdrowia (naruszając tym samym art. 9 ust. 1 i 2 RODO). Z informacjami tymi zapoznał się w związku z wykonywaniem czynności służbowych (pełniąc funkcję ministra właściwego ds. zdrowia). Zdaniem WSA wyrok sądu karnego z 2025 r. wpłynął na postrzeganie stanu faktycznego, opisanego w decyzji Prezesa UODO z grudnia 2023 r., w związku z czym postanowił ją uchylić, aby umożliwić organowi nadzorczemu rozpatrzenie sprawy z uwzględnieniem ustaleń poczynionych przez sąd karny. WSA uznał bowiem, że odpowiedzialność za naruszenie ponosi osoba fizyczna – Adam Niedzielski – a nie organ administracji, jakim jest Minister Zdrowia.

Prezes UODO nie zgodził się z tym orzeczeniem. W skardze kasacyjnej wskazał, że WSA błędnie utożsamił odpowiedzialność karną osoby fizycznej z odpowiedzialnością administracyjnoprawną administratora danych. Zwrócił przy tym uwagę, że są to dwa odrębne reżimy odpowiedzialności prawnej, które mogą funkcjonować równolegle.

Prezes UODO argumentuje, że wyrok sądu karnego rozstrzyga wyłącznie o odpowiedzialności konkretnej osoby za czyn zabroniony, ale nie przesądza o tym, kto jest administratorem danych w rozumieniu RODO oraz kto ponosi odpowiedzialność administracyjną za sposób ich przetwarzania. Zgodnie z art. 4 pkt 7 RODO administratorem jest podmiot, który decyduje o celach i sposobach przetwarzania danych, a w tym przypadku był nim Minister Zdrowia jako organ administracji publicznej.

Prezes Urzędu zaznaczył również, że decyzja z grudnia 2023 r. nie ograniczała się do oceny samego aktu publikacji danych, lecz obejmowała cały proces ich przetwarzania – od pozyskania danych z systemu, przez kwestie bezpieczeństwa danych aż po sposób reakcji na incydent naruszenia ochrony danych osobowych. W tym zakresie odpowiedzialność spoczywa na administratorze, a nie na osobie fizycznej, która dopuściła się naruszenia.

W opinii organu WSA niesłusznie przedstawił spór jako dotyczący ustaleń faktycznych, podczas gdy fakty były zbieżne z ustaleniami sądu karnego. Spór dotyczył wyłącznie kwalifikacji prawnej, czyli tego, kto ponosi odpowiedzialność administracyjną za naruszenie przepisów.

Prezes UODO wskazuje, że związanie sądu administracyjnego ustaleniami wyroku karnego, wynikające z art. 11 Prawa o postępowaniu przed sądami administracyjnymi, obejmuje jedynie ustalenia dotyczące osoby sprawcy, przebiegu czynu oraz jego kwalifikacji karnej. Nie obejmuje natomiast oceny odpowiedzialności administracyjnej ani ustalenia statusu administratora danych.

Organ nadzorczy w tym kontekście podkreśla, że przyjęcie stanowiska WSA prowadziłoby do konsekwencji systemowych. Oznaczałoby bowiem, że w sytuacji, gdy osoba działająca w ramach organu publicznego przekracza swoje uprawnienia, to odpowiedzialność za naruszenie przepisów o ochronie danych osobowych nie spoczywałaby na organie jako administratorze, lecz wyłącznie na tej osobie fizycznej. Działania piastuna organu wykraczające poza zakres jego kompetencji lub upoważnień nie mogłyby bowiem zostać uznane w kontekście odpowiedzialności administracyjnoprawnej za działania tego organu. Jest to sprzeczne z dotychczasowym orzecznictwem sądowym dotyczącym zakresu odpowiedzialności administratora danych.

Taka interpretacja – według Prezesa UODO – podważałaby system ochrony danych osobowych. Prowadziłaby do tego, że organy publiczne mogłyby unikać odpowiedzialności za nielegalne przetwarzanie danych, powołując się na działania swoich przedstawicieli wykraczające poza zakres ich kompetencji.

Prezes Urzędu przypomina, że odpowiedzialność administratora ma charakter obiektywny i obejmuje także przypadki, w których naruszenia dopuszcza się osoba działająca w jego strukturze. Fakt, że czyn popełniła konkretna osoba fizyczna, nie wyłącza odpowiedzialności podmiotu, który przeprowadza proces przetwarzania danych i decyduje o jego ramach.

Prezes UODO wyjaśnia też, że w analizowanej sprawie działania Adama Niedzielskiego były nierozerwalnie związane z pełnioną przez niego funkcją Ministra Zdrowia. Jego dostęp do danych wynikał właśnie z tej funkcji, a nie z prywatnej aktywności. Tym samym nie można oddzielić działań osoby fizycznej od działań organu w taki sposób, jak określił to w rozstrzygnięciu WSA.

Organ nadzorczy wskazuje także, iż przyjęcie stanowiska WSA prowadziłoby do osłabienia ochrony praw osób, których dane dotyczą: podmioty danych mogłyby mieć trudności z dochodzeniem swoich praw wobec administratora, jeżeli odpowiedzialność byłaby przenoszona na osoby fizyczne działające w jego strukturze. Istotne jest też to, że przepisy RODO przewidują odpowiedzialność administratora również za brak odpowiednich środków technicznych i organizacyjnych oraz za nieprawidłowe reagowanie na naruszenia ochrony danych. Tych obowiązków nie można przypisać osobie fizycznej, ponieważ mają one charakter systemowy i dotyczą funkcjonowania całej organizacji.

Prezes UODO zauważa również, że WSA sporządził uzasadnienie wyroku w sposób lakoniczny i niepozwalający na odtworzenie toku rozumowania pozwalającego skontrolować, dlaczego ustalenie osobistego sprawstwa czynu przez sąd karny miałoby automatycznie eliminować także rozstrzygnięcia decyzji organu nadzorczego odnośnie do obowiązków administracyjnych i systemowych. WSA nie wyjaśnił, dlaczego ustalenie odpowiedzialności karnej osoby fizycznej miałoby automatycznie wyłączać odpowiedzialność administratora w reżimie administracyjnym.

W ocenie organu uzasadnienie wyroku narusza art. 141 § 4 Prawa o postępowaniu przed sądami administracyjnymi, gdyż nie zawiera pełnej analizy prawnej ani argumentacji pozwalającej na kontrolę instancyjną. Sąd ograniczył się do stwierdzenia błędu w ustaleniach faktycznych, nie odnosząc się w sposób pogłębiony do charakteru odpowiedzialności administratora danych.

Prezes Urzędu wniósł o rozpoznanie skargi kasacyjnej na rozprawie oraz o uchylenie zaskarżonego wyroku WSA w całości i rozpoznanie skargi Ministra Zdrowia na decyzję organu nadzorczego z 20 grudnia 2023 r. przez Naczelny Sąd Administracyjny poprzez jej oddalenie w całości lub uchylenie w całości zaskarżonego wyroku WSA i przekazanie sprawy do ponownego rozpoznania.

Sygn. akt: II SA/Wa 285/24

DKN.5131.32.2023