Wyrok Naczelnego Sądu Administracyjnego z 24 listopada 2025 r. (oddalający skargę kasacyjną przedsiębiorcy – właściciela kliniki stomatologicznej) jest jednym z tych orzeczeń, które działają jak zimny prysznic na wszystkich administratorów danych: nie wystarczy „mieć rację”, nie wystarczy „zrobić po swojemu”, nie wystarczy nawet „nadrobić” – trzeba wykonać nakaz organu w czasie i umieć to wykazać.
Ta sprawa jest o tyle cenna dla praktyki, że pokazuje mechanizm kary, który wielu przedsiębiorców bagatelizuje. W wyobraźni często mamy prosty scenariusz: „był incydent, zgłosiliśmy, coś poprawiliśmy, zamykamy temat”. Tymczasem realne ryzyko często rodzi się dopiero później – wtedy, gdy organ wydaje decyzję naprawczą i oczekuje konkretnego działania, a firma nie potrafi pokazać, że zrobiła to, co miała zrobić.
Właśnie dlatego w tej historii istotna nie jest sensacja o „wycieku” czy „kradzieży danych”. Kluczowe są dwie rzeczy: nakaz zawiadomienia osób dotkniętych naruszeniem oraz dowody, że to zawiadomienie faktycznie zostało wykonane. A dokładniej: dowody, które da się zweryfikować.
Spis treści
Co się wydarzyło: incydent i decyzja UODO
Początek sprawy jest dość typowy. W lipcu 2019 r. przedsiębiorca zgłosił naruszenie ochrony danych osobowych. Z przekazanych informacji wynikało, że były pracownik kliniki miał nieuprawnienie skopiować dane osobowe pacjentów, a motyw miał być „biznesowy” – pracownik chciał wykorzystać te informacje do marketingu własnej działalności.
W reakcji na zgłoszenie Prezes UODO wydał decyzję, w której nakazał przedsiębiorcy zawiadomienie osób dotkniętych naruszeniem o nieuprawnionym skopiowaniu ich danych. To nie był „dobry zwyczaj” ani „rekomendacja”. To był nakaz w decyzji administracyjnej, a więc obowiązek, którego niewykonanie może mieć swoje konsekwencje.
W praktyce to właśnie zawiadomienia są jednym z najbardziej wrażliwych elementów obsługi incydentu. Po pierwsze, trzeba prawidłowo ustalić krąg osób, których to dotyczy. Po drugie, trzeba wysłać informację w sposób sensowny organizacyjnie. Po trzecie – i to w tej sprawie okazało się decydujące – trzeba tak to zrobić, żeby później nie było wątpliwości, że zawiadomienia rzeczywiście wyszły.
Komunikacja z UODO i ciężar udowodnienia wykonania nakazu
Po wydaniu decyzji organ sprawdzał, czy przedsiębiorca wykonał nałożony nakaz. I tu zaczęły się schody. Z opisu sprawy wynika, że przedsiębiorca początkowo unikał odpowiedzi na wezwania do potwierdzenia i udowodnienia wykonania decyzji. Następnie składał wyjaśnienia określane jako niejasne, wymijające i sprzeczne. Pojawiały się twierdzenia, że nie wiadomo ilu osób dotyczy naruszenie, że nie wiadomo jak wykonać nakaz, a nawet sugestia, że to organ powinien zawiadomić poszkodowanych.
W praktyce takie zachowanie niemal zawsze działa przeciwko administratorowi. Nie dlatego, że organ „lubi karać”, tylko dlatego, że postępowanie administracyjne opiera się na faktach i dowodach. Jeśli urząd pyta: „czy wykonałeś nakaz, pokaż”, a odpowiedzi są niespójne lub odkładane w czasie, to organ nie ma komfortu zakładania dobrej woli. Musi ocenić stan sprawy na podstawie tego, co ma w aktach.
Najbardziej problematyczne okazało się jednak to, jak przedsiębiorca próbował wykazać wykonanie obowiązku. Ostatecznie przedstawił dowody wysłania 37 zawiadomień w postaci: faktury zakupu 37 znaczków pocztowych oraz oświadczenia osoby, która miała – jako rzekomy pracownik poczty – skierować pisma do wysłania przesyłkami zwykłymi, czyli nierejestrowanymi.
W świecie „zdrowego rozsądku” ktoś może powiedzieć: „przecież kupił znaczki, ktoś to wysłał, o co chodzi?”. W świecie postępowania dowodowego to nie działa, bo faktura za znaczki nie dowodzi ani tego, że przygotowano konkretne pisma, ani że wysłano je do konkretnych adresatów, ani że wysłano je w konkretnym dniu, ani że da się zweryfikować sam proces doręczenia. A oświadczenie „osoby trzeciej” też nie zastępuje dowodu, który da się obiektywnie sprawdzić.
W efekcie Prezes UODO uznał, że przedsiębiorca nie wykazał wykonania nakazu, i nałożył administracyjną karę pieniężną w wysokości 85 588 zł – za niewykonanie nakazu z prawomocnej decyzji.
„Zrobiliśmy to później” - dlaczego to nie uratowało sprawy
Najbardziej pouczający element tej historii jest taki, że przedsiębiorca – już po doręczeniu decyzji o karze – przedstawił bezsporne dowody prawidłowego wykonania nakazu: kopie pism i potwierdzenia ich wysłania listami poleconymi. Problem polegał na tym, że te pisma zostały wysłane dopiero po wydaniu decyzji organu nadzorczego.
Stanowiska WSA i NSA
Przedsiębiorca zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, wnosząc o uchylenie decyzji i umorzenie postępowania, ewentualnie o odstąpienie od kary i poprzestanie na pouczeniu. Zarzucał organowi m.in. naruszenia przepisów postępowania, niewyjaśnienie stanu faktycznego, „subiektywną ocenę” zdarzenia oraz nieadekwatność kary. WSA w listopadzie 2021 r. skargę oddalił, uznając, że decyzja organu była zgodna z prawem – zarówno co do samego naruszenia, jak i wysokości kary. Następnie przedsiębiorca złożył skargę kasacyjną do NSA, wskazując, że posiada dowody prawidłowego wykonania nakazu. NSA jednak skargę kasacyjną oddalił.
W opisie sprawy wybrzmiewają dwa fundamenty, które warto zapamiętać.
Po pierwsze, organ ocenia sprawę według stanu na dzień wydania decyzji. Jeżeli w tym dniu administrator nie wykonał nakazu albo nie potrafił wykazać jego wykonania, to późniejsze działania mogą być spóźnione z punktu widzenia legalności decyzji już wydanej.
Po drugie, NSA podkreślił obowiązek wynikający z zasady rozliczalności: to na przedsiębiorcy ciąży obowiązek posiadania dokumentów potwierdzających zawiadomienie osób dotkniętych naruszeniem oraz obowiązek wykazania przed organem, że obowiązek został wykonany. W praktyce rozliczalność oznacza jedno: musisz mieć dowód, a nie tylko przekonanie.
Kara za niewykonanie nakazu jako „osobne” narzędzie
UODO, informując o wyroku, zwrócił uwagę na narzędzie, które – jak wynika z komunikatu – jest stosowane rzadko, ale jest bardzo dolegliwe: administracyjna kara pieniężna za „nieprzestrzeganie nakazu orzeczonego przez organ nadzorczy”.
To istotne, bo wielu przedsiębiorców intuicyjnie zakłada, że niewykonanie decyzji „załatwia się” środkami egzekucji administracyjnej (np. grzywną w celu przymuszenia). Tymczasem UODO wskazuje, że kara pieniężna za niewykonanie nakazu jest środkiem niezależnym – i potencjalnie bardziej dotkliwym.
Jednocześnie organ sygnalizuje, że widzi to narzędzie jako adekwatne zwłaszcza w sytuacjach, gdy niewykonywanie nakazów ma charakter umyślny, notoryczny albo demonstracyjnie lekceważący. I nawet jeśli w konkretnej sprawie spór dotyczył „tylko” tego, czy zawiadomienia zostały wysłane, to cała sytuacja – unikanie odpowiedzi, sprzeczne wyjaśnienia, dowody nie do zweryfikowania, a potem działanie dopiero po karze – wygląda dokładnie jak materiał, który organ może zakwalifikować jako brak realnej współpracy.
Podsumowanie
Ta sprawa pokazuje, że prawomocny nakaz Prezesa UODO trzeba wykonać nie tylko faktycznie, ale również w taki sposób, aby dało się to jednoznacznie wykazać odpowiednimi dokumentami – i trzeba to zrobić w terminie.
NSA potwierdził dwa kluczowe wnioski. Po pierwsze, organ nadzorczy ocenia wykonanie obowiązków według stanu na dzień wydania decyzji, dlatego działania podjęte dopiero później mogą nie mieć znaczenia dla oceny legalności kary. Po drugie, zasada rozliczalności oznacza, że to administrator ma obowiązek posiadać i przedstawić dowody potwierdzające wykonanie nakazu.
W praktyce oznacza to, że po incydencie liczy się nie tylko „naprawienie” sytuacji, lecz także uporządkowane działanie i dokumentowanie wszystkich czynności. W przeciwnym razie nawet spóźnione wykonanie obowiązku nie uchroni przed konsekwencjami finansowymi – w tej sprawie było to 85 588 zł.
