Wyobraź sobie, że Twoje dane medyczne – wrażliwe, chronione prawem, powierzone systemowi państwowemu – trafiają na portal społecznościowy. Publikuje je nie haker, nie przypadkowy internauta, lecz minister. Człowiek, który miał do nich dostęp właśnie dlatego, że sprawował najwyższy urząd w resorcie zdrowia.
Dokładnie tak wyglądała sytuacja, która w 2023 r. zapoczątkowała jeden z najbardziej precedensowych sporów prawnych ostatnich lat w obszarze ochrony danych osobowych w Polsce. Sąd karny skazał ministra. Urząd Ochrony Danych Osobowych ukarał instytucję. A Wojewódzki Sąd Administracyjny orzekł, że nie można robić obu rzeczy naraz.
To ostatnie rozstrzygnięcie wzbudziło poważne wątpliwości – i to nie tylko w samym UODO. Czy rzeczywiście skazanie konkretnego człowieka za naruszenie prawa zwalnia instytucję, w której działał, z jakiejkolwiek odpowiedzialności? Czy organy publiczne mogą w ten sposób wymknąć się konsekwencjom za systemowe zaniedbania w ochronie danych?
Na te pytania będzie musiał odpowiedzieć Naczelny Sąd Administracyjny. Stawka jest wysoka – chodzi nie tylko o 100 tys. zł kary, ale o to, jak w Polsce rozumiana będzie odpowiedzialność instytucji państwowych za dane, które nam powierzamy.
Spis treści
Tło sprawy
O co chodzi w tej sprawie?
W sierpniu 2023 r. ówczesny Minister Zdrowia Adam Niedzielski opublikował na portalu X dane osobowe lekarza. Nie były to zwykłe dane – chodziło o informacje dotyczące stanu zdrowia, które RODO zalicza do tzw. danych szczególnej kategorii, objętych szczególnie silną ochroną. Co istotne, minister pozyskał te dane z Systemu Informacji Medycznej, do którego miał dostęp wyłącznie dlatego, że pełnił swoją funkcję.
Urząd Ochrony Danych Osobowych zareagował stosunkowo szybko – w grudniu 2023 r. nałożył na Ministra Zdrowia karę pieniężną w wysokości 100 tys. zł. W 2025 r. sąd karny prawomocnie skazał Adama Niedzielskiego za przekroczenie uprawnień i naruszenie przepisów o ochronie danych.
Wydawałoby się, że sprawa jest zamknięta. Tymczasem w marcu 2026 r. Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję UODO. I właśnie to rozstrzygnięcie wywołało poważny spór prawny, który trafi teraz przed Naczelny Sąd Administracyjny.
Dlaczego WSA uchylił decyzję UODO?
Sąd administracyjny uznał, że skoro sąd karny prawomocnie stwierdził, iż naruszenia dopuścił się Adam Niedzielski jako osoba fizyczna, to odpowiedzialność za wyciek danych spoczywa na nim – nie zaś na instytucji, jaką jest Minister Zdrowia. Innymi słowy: skazano człowieka, więc nie ma podstaw, by karać urząd.
Sąd uchylił decyzję i odesłał sprawę do ponownego rozpatrzenia, wskazując, że UODO powinien uwzględnić ustalenia poczynione przez sąd karny.
Istota sporu prawnego
Dlaczego Prezes UODO się z tym nie zgodził?
Tu zaczyna się meritum sporu. Prezes UODO wskazuje, że WSA popełnił błąd polegający na pomieszaniu dwóch zupełnie różnych porządków prawnych: odpowiedzialności karnej i odpowiedzialności administracyjnej. Tymczasem są to dwa odrębne reżimy, które mogą – i często powinny – istnieć równolegle.
Można to zilustrować prostym przykładem. Jeśli pracownik banku dopuści się oszustwa na szkodę klientów, to on poniesie odpowiedzialność karną. Ale bank – jako instytucja – może jednocześnie odpowiadać administracyjnie za to, że nie miał odpowiednich procedur, kontroli czy zabezpieczeń, które powinny były temu zapobiec. Skazanie pracownika nie uwalnia banku od odpowiedzialności za zaniedbania systemowe.
Dokładnie ten sam schemat organ nadzorczy dostrzega w sprawie Ministra Zdrowia.
Kim jest „administrator danych" i dlaczego to tak ważne?
RODO posługuje się pojęciem administratora danych – jest nim podmiot, który decyduje o tym, w jakim celu i w jaki sposób dane są przetwarzane. W tej sprawie administratorem był Minister Zdrowia jako organ administracji publicznej, nie zaś konkretna osoba sprawująca tę funkcję.
Oznacza to, że obowiązki wynikające z RODO – zapewnienie bezpieczeństwa danych, wdrożenie odpowiednich procedur, właściwa reakcja na naruszenia – spoczywały na urzędzie, a nie na panu Niedzielskim osobiście. Decyzja UODO z 2023 r. nie dotyczyła zresztą wyłącznie samego aktu publikacji danych na portalu X. Obejmowała cały proces: sposób pozyskania danych z SIM, bezpieczeństwo systemu oraz reakcję na zaistniały incydent. Za każdy z tych elementów odpowiada administrator, a nie osoba fizyczna, która naruszyła przepisy.
Konsekwencje rozstrzygnięcia
Niebezpieczny precedens
Prezes UODO zwraca uwagę na coś, co można by nazwać „furtką dla instytucji”. Gdyby sądy przyjęły rozumowanie WSA za własne, organy publiczne uzyskałyby wygodny sposób unikania odpowiedzialności za naruszenia danych osobowych. Wystarczyłoby wykazać, że konkretny urzędnik czy minister działał poza zakresem swoich kompetencji – i instytucja byłaby wolna od jakiejkolwiek odpowiedzialności administracyjnej.
Skutki byłyby odczuwalne przede wszystkim dla zwykłych obywateli. Osoba, której dane wyciekły, miałaby poważny problem z dochodzeniem swoich praw – bo zamiast mierzyć się z instytucją, musiałaby ścigać konkretną osobę fizyczną. To nie jest cel, który przyświecał twórcom RODO.
Kwestia techniczna: co tak naprawdę wiąże sąd administracyjny?
Przepisy prawa o postępowaniu przed sądami administracyjnymi przewidują, że prawomocny wyrok karny wiąże sąd administracyjny – ale tylko w zakresie ustaleń dotyczących popełnienia przestępstwa: kto je popełnił, jak przebiegało i jak zostało zakwalifikowane. Nie wiąże natomiast co do kwestii z zakresu prawa administracyjnego, w tym tego, kto jest administratorem danych i czy wywiązał się ze swoich obowiązków.
WSA, zdaniem Prezesa UODO, błędnie rozciągnął to związanie na obszar, którego wyrok karny w ogóle nie dotyczył.
Zarzuty skargi kasacyjnej
Błąd w kwalifikacji prawnej
Prezes UODO podkreśla, że WSA błędnie przedstawił spór jako dotyczący ustaleń faktycznych. Tymczasem fakty w obu postępowaniach były zbieżne – nie było między stronami sporu co do tego, co się wydarzyło. Istota sprawy sprowadzała się wyłącznie do kwalifikacji prawnej: kto ponosi odpowiedzialność administracyjną za naruszenie przepisów o ochronie danych. To pytanie o prawo, nie o fakty – i wyrok karny nie daje na nie odpowiedzi.
Lakoniczność uzasadnienia
Skarga kasacyjna zawiera również zarzut formalny. Prezes UODO podnosi, że WSA uzasadnił swój wyrok w sposób zbyt lakoniczny – sąd stwierdził, że doszło do błędu w ustaleniach faktycznych, ale nie wyjaśnił, dlaczego skazanie osoby fizycznej miałoby automatycznie przekreślać odpowiedzialność administratora. Bez takiego wyjaśnienia trudno w ogóle ocenić, czy rozumowanie sądu było trafne – a to jest warunkiem koniecznym rzetelnej kontroli instancyjnej.
Co dalej?
Sprawa trafi przed Naczelny Sąd Administracyjny, który będzie musiał odpowiedzieć na pytanie fundamentalne dla całego systemu ochrony danych osobowych w Polsce: czy prawomocne skazanie osoby piastującej funkcję publiczną za naruszenie przepisów o ochronie danych może stanowić podstawę do zwolnienia instytucji z odpowiedzialności administracyjnej?
Argumenty Prezesa UODO są merytorycznie mocne i dobrze zakorzenione zarówno w treści RODO, jak i w ogólnych zasadach prawa publicznego. Rozstrzygnięcie NSA będzie miało znaczenie nie tylko dla tej konkretnej sprawy, ale dla wszystkich przyszłych przypadków, w których naruszenia danych osobowych w instytucjach publicznych będą się wiązać z jednoczesną odpowiedzialnością karną konkretnych urzędników.
