Skarga kasacyjna UODO w sprawie Ministra Zdrowia - spór o odpowiedzialność administratora danych

Sprawa dotyczy ujawnienia danych osobowych lekarza przez ówczesnego Ministra Zdrowia Adama Niedzielskiego. W sierpniu 2023 r. na portalu X opublikowano informacje zawierające dane dotyczące zdrowia, czyli dane szczególnej kategorii w rozumieniu RODO.

Dane osobowe lekarza zostały pozyskane z Systemu Informacji Medycznej. W grudniu 2023 r. Prezes UODO nałożył na Ministra Zdrowia administracyjną karę pieniężną w wysokości 100 tys. zł. Z kolei we wrześniu 2025 r. sąd karny prawomocnie uznał Adama Niedzielskiego za winnego przekroczenia uprawnień oraz naruszenia przepisów o ochronie danych osobowych.

2 marca 2026 r. przed Wojewódzkim Sądem Administracyjnym w Warszawie odbyła się rozprawa dotycząca tej sprawy. W ustnym uzasadnieniu wyroku WSA powołał się na związanie sądu prawomocnym wyrokiem sądu karnego z 2025 r.

Z komunikatu UODO wynika, że według WSA wyrok karny wpłynął na postrzeganie stanu faktycznego opisanego w decyzji Prezesa UODO z grudnia 2023 r. Sąd uznał, że odpowiedzialność za naruszenie ponosi osoba fizyczna – Adam Niedzielski – a nie organ administracji, jakim jest Minister Zdrowia. W konsekwencji decyzja organu nadzorczego została uchylona, aby umożliwić ponowne rozpatrzenie sprawy z uwzględnieniem ustaleń poczynionych przez sąd karny.

Prezes UODO nie zgodził się z takim rozstrzygnięciem. W skardze kasacyjnej wskazał, że WSA błędnie utożsamił odpowiedzialność karną osoby fizycznej z odpowiedzialnością administracyjnoprawną administratora danych.

To jeden z najważniejszych elementów całej sprawy z perspektywy praktyki IOD. Organ nadzorczy podkreśla, że są to dwa odrębne reżimy odpowiedzialności prawnej, które mogą funkcjonować równolegle. Wyrok sądu karnego ma rozstrzygać o odpowiedzialności konkretnej osoby za czyn zabroniony, ale nie przesądza automatycznie o tym, kto jest administratorem danych w rozumieniu RODO ani kto ponosi odpowiedzialność administracyjną za sposób ich przetwarzania.

Prezes UODO zwraca uwagę, że zgodnie z art. 4 pkt 7 RODO administratorem jest podmiot decydujący o celach i sposobach przetwarzania danych. W analizowanej sprawie takim podmiotem miał być Minister Zdrowia jako organ administracji publicznej.

W komunikacie UODO odkreślono również, że decyzja z grudnia 2023 r. nie dotyczyła wyłącznie samego aktu publikacji danych. Obejmowała cały proces przetwarzania: od pozyskania danych z systemu, przez kwestie bezpieczeństwa danych, aż po sposób reakcji na incydent naruszenia ochrony danych osobowych.

To bardzo istotny wniosek dla osób odpowiedzialnych za zgodność organizacji z RODO. UODO wskazuje bowiem, że odpowiedzialność administracyjna administratora ma charakter szerszy niż ocena jednostkowego zachowania konkretnej osoby. Obejmuje także środki techniczne i organizacyjne oraz systemowe obowiązki związane z bezpieczeństwem przetwarzania i reagowaniem na naruszenia.

Prezes UODO zaznacza, że WSA niesłusznie przedstawił spór jako dotyczący ustaleń faktycznych. Według organu nadzorczego fakty były zbieżne z ustaleniami sądu karnego, natomiast spór dotyczył wyłącznie kwalifikacji prawnej, czyli odpowiedzi na pytanie, kto ponosi odpowiedzialność administracyjną za naruszenie przepisów.

W komunikacie wskazano także, że związanie sądu administracyjnego ustaleniami wyroku karnego, wynikające z art. 11 Prawa o postępowaniu przed sądami administracyjnymi, obejmuje jedynie ustalenia dotyczące osoby sprawcy, przebiegu czynu oraz jego kwalifikacji karnej. Nie obejmuje natomiast oceny odpowiedzialności administracyjnej ani ustalenia statusu administratora danych.

Z perspektywy IOD szczególnie ważne są argumenty dotyczące skutków systemowych. Prezes UODO podnosi, że przyjęcie stanowiska WSA mogłoby prowadzić do sytuacji, w której organ publiczny unikałby odpowiedzialności za nielegalne przetwarzanie danych, powołując się na to, że działania podjęła konkretna osoba fizyczna przekraczająca swoje uprawnienia.

Według organu nadzorczego taka interpretacja osłabiałaby system ochrony danych osobowych. Mogłaby także utrudnić osobom, których dane dotyczą, dochodzenie swoich praw wobec administratora. UODO przypomina przy tym, że odpowiedzialność administratora ma charakter obiektywny i obejmuje również przypadki, w których naruszenia dopuszcza się osoba działająca w jego strukturze.

W komunikacie wyjaśniono też, że działania Adama Niedzielskiego były nierozerwalnie związane z pełnioną przez niego funkcją Ministra Zdrowia. Dostęp do danych wynikał z tej właśnie funkcji, a nie z aktywności prywatnej, dlatego – w ocenie organu – nie można oddzielić działań osoby fizycznej od działań organu w sposób przyjęty przez WSA.

Dla IOD sprawa stanowi ważne przypomnienie, że odpowiedzialność za naruszenie ochrony danych osobowych należy oceniać nie tylko przez pryzmat działania konkretnej osoby, ale również przez pryzmat roli administratora, organizacji procesu przetwarzania oraz przyjętych zabezpieczeń.

Komunikat UODO wzmacnia praktyczne znaczenie kilku kwestii:

• administrator odpowiada za legalność i bezpieczeństwo całego procesu przetwarzania,
• odpowiedzialność karna osoby fizycznej nie wyklucza odpowiedzialności administracyjnej administratora,
• w sprawach dotyczących danych szczególnej kategorii, zwłaszcza danych o zdrowiu, szczególnego znaczenia nabierają środki organizacyjne, kontrola dostępu i prawidłowa reakcja na incydent,
• w podmiotach publicznych nie można automatycznie wyłączać odpowiedzialności organu tylko dlatego, że bezpośredniego działania dokonał jego reprezentant.

Warto więc traktować tę sprawę jako ważny punkt odniesienia przy analizie incydentów, budowaniu procedur wewnętrznych i ocenie odpowiedzialności za naruszenia ochrony danych osobowych w administracji publicznej.

Źródło: UODO, wyrok sygn. akt: II SA/Wa 285/24, sprawa DKN.5131.32.2023