Aktualny

Wyrok NSA: Regularne testowanie środków bezpieczeństwa RODO obowiązkiem administratora danych

Dodano: 1 lipca 2026
Regularne testowanie środków bezpieczeństwa RODO – wyrok NSA

Administrator danych powinien od początku stosowania RODO posiadać rozwiązania zapewniające regularne testowanie, mierzenie i ocenę skuteczności środków bezpieczeństwa. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki w sprawie dotyczącej naruszenia ochrony danych osobowych ponad 114 tys. klientów Virgin Mobile i potwierdził stanowisko Prezesa UODO dotyczące obowiązków administratora.

Regularne testowanie środków bezpieczeństwa RODO to obowiązek od 25 maja 2018 r.

Naczelny Sąd Administracyjny w wyroku z 7 maja 2026 r. potwierdził, że administrator danych już od dnia rozpoczęcia stosowania RODO, czyli od 25 maja 2018 r., powinien posiadać wdrożone rozwiązania umożliwiające regularne testowanie, mierzenie i ocenę skuteczności zastosowanych środków technicznych i organizacyjnych.

Sprawa ma istotne znaczenie dla administratorów danych oraz inspektorów ochrony danych, ponieważ pokazuje, że samo wdrożenie zabezpieczeń nie jest wystarczające. Administrator powinien być w stanie wykazać, że środki bezpieczeństwa są nie tylko formalnie przyjęte, ale również cyklicznie weryfikowane pod kątem skuteczności.

Administrator danych musi wykazać skuteczność środków bezpieczeństwa

Postępowanie rozpoczęło się po zgłoszeniu naruszenia ochrony danych osobowych w 2019 roku. Naruszenie dotyczyło abonentów usług „na kartę” i polegało na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych ponad 114 tys. klientów Virgin Mobile.

Po zgłoszeniu naruszenia Prezes UODO wszczął z urzędu postępowanie administracyjne. Celem było ustalenie, czy do naruszenia przepisów o ochronie danych osobowych doszło wskutek niewdrożenia odpowiednich środków technicznych i organizacyjnych.

W ocenie organu nadzorczego administrator nie zapewnił właściwego poziomu bezpieczeństwa przetwarzania, w szczególności w zakresie regularnego sprawdzania skuteczności zastosowanych zabezpieczeń.

Kara UODO za brak odpowiednich środków technicznych i organizacyjnych

W 2022 r. Prezes UODO wydał decyzję administracyjną i nałożył na spółkę administracyjną karę pieniężną w wysokości 1 968 524 zł. Decyzja ta została zaskarżona do Wojewódzkiego Sądu Administracyjnego w Warszawie.

Po wyroku WSA Prezes UODO ponownie rozpoznał sprawę. W kolejnej decyzji szczegółowo omówił przesłanki wpływające na wysokość kary, podtrzymując stanowisko dotyczące naruszenia przepisów RODO. Wysokość administracyjnej kary pieniężnej została następnie ustalona na 1 599 395 zł.

Spółka ponownie nie zgodziła się z rozstrzygnięciem organu nadzorczego i wniosła skargę do WSA. Sąd oddalił ją w całości.

NSA: zgłoszenie naruszenia ochrony danych nie zawsze łagodzi karę

Spółka złożyła skargę kasacyjną do Naczelnego Sądu Administracyjnego. NSA uznał jednak, że skarga nie zawierała usprawiedliwionych podstaw, a podniesione zarzuty były chybione.

Sąd potwierdził, że Prezes UODO prawidłowo ocenił sposób powzięcia wiedzy o naruszeniu ochrony danych osobowych. Zgłoszenie naruszenia Prezesowi UODO nie zostało w tej sprawie potraktowane jako okoliczność łagodząca wymiar kary. Organ nadzorczy uznał tę okoliczność za neutralną.

Samo wykonanie obowiązku zgłoszenia naruszenia nie oznacza automatycznie, że administrator może liczyć na obniżenie kary. Znaczenie ma całokształt okoliczności sprawy, w tym poziom wdrożonych zabezpieczeń i możliwość wykazania ich skuteczności.

Testowanie zabezpieczeń i ocena skuteczności środków jako element rozliczalności RODO

NSA zgodził się ze stanowiskiem Prezesa UODO, że naruszenie trwało od dnia rozpoczęcia stosowania RODO do dnia uzyskania certyfikacji przez administratora, tj. do 22 lipca 2020 r.

W praktyce oznacza to, że administrator powinien już od 25 maja 2018 r. posiadać mechanizmy pozwalające na regularną ocenę skuteczności środków bezpieczeństwa. Chodzi nie tylko o wdrożenie procedur, polityk czy zabezpieczeń technicznych, ale również o ich okresowe testowanie, mierzenie i dokumentowanie wyników.

Obowiązek rozliczalności obejmuje również możliwość wykazania, iż administrator prowadzi realną, regularną i udokumentowaną weryfikację bezpieczeństwa przetwarzania danych osobowych.

Co powinien sprawdzić IOD po wyroku NSA?

Warto zweryfikować, czy w organizacji funkcjonują procedury i dowody potwierdzające regularne testowanie zabezpieczeń.

W szczególności IOD powinien zwrócić uwagę na to, czy administrator:

  • posiada harmonogram testów i przeglądów środków bezpieczeństwa,
  • dokumentuje wyniki testowania, mierzenia i oceny skuteczności zabezpieczeń,
  • analizuje ryzyka związane z przetwarzaniem danych osobowych,
  • aktualizuje środki techniczne i organizacyjne po wykryciu słabości,
  • potrafi wykazać, że zabezpieczenia były adekwatne do ryzyka,
  • traktuje testowanie zabezpieczeń jako stały proces, a nie jednorazowe działanie.

Brak takiej dokumentacji może utrudnić wykazanie zgodności z RODO w razie kontroli, naruszenia ochrony danych osobowych lub postępowania przed Prezesem UODO.

Źródło: UODO

Sygnatury spraw: III OSK 2694/23, II SA/Wa 272/21
Numer sprawy UODO: DKN.5112.1.2020

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x