WSA: administrator danych osobowych odpowiada także za nadzór nad procesorem

Wojewódzki Sąd Administracyjny w Warszawie 20 maja 2026 r. ponownie stanął po stronie Prezesa UODO i uznał, że kary nałożone na Fortum Energia S.A. oraz Pika Sp. z o.o. były zasadne. Sąd zgodził się, że w sprawie doszło do naruszenia przepisów RODO zarówno po stronie administratora, jak i podmiotu przetwarzającego.

Sprawa wróciła do WSA po lutowym wyroku Naczelnego Sądu Administracyjnego z 2026 r., który uchylił wcześniejsze rozstrzygnięcie i przekazał sprawę do ponownego rozpoznania.

Zgłoszone naruszenie powstało przy modernizacji środowiska teleinformatycznego pełniącego również funkcję cyfrowego archiwum. Podmiot przetwarzający utworzył dodatkową bazę danych i zasilił ją danymi klientów Fortum, a następnie udostępnił ją w sposób umożliwiający nieuprawniony dostęp, kopiowanie i dalsze przetwarzanie danych.

Według ustaleń sprawa objęła ponad 90 tys. osób, a Prezes UODO wskazał na brak odpowiednich środków technicznych i organizacyjnych po stronie obu podmiotów.

WSA podzielił też stanowisko UODO, że administrator nie może ograniczyć się do formalnego powierzenia przetwarzania danych. Musi zweryfikować, czy procesor daje wystarczające gwarancje bezpieczeństwa, a także sprawować nad nim realny nadzór w trakcie realizacji umowy.

To ważny sygnał dla IOD: samo zawarcie umowy powierzenia nie wystarcza, jeśli brak jest testów zabezpieczeń, bieżącego monitorowania zmian i kontroli działań wykonawcy.

Sąd potwierdził również, że administracyjne kary pieniężne były skuteczne, proporcjonalne i odstraszające. W ocenie organu i sądu ich wysokość miała odzwierciedlać skalę naruszenia oraz wagę zaniechań związanych z bezpieczeństwem przetwarzania danych.

Prezes UODO uznał, że około 5 mln zł na administratora i ponad 250 tys. zł na procesora były uzasadnione okolicznościami sprawy.

Źródło: UODO, wyrok WSA o sygn. akt II SA/Wa 458/26, DKN.5130.2215.2020