Rzeczpospolita
Prawo
Reklama

Kiedy zawiadamiać obywatela o naruszeniu ochrony jego danych? Ważny wyrok NSA

Wojewódzki Sąd Administracyjnego w Warszawie jeszcze raz musi się zająć sprawą słonej kary dla ubezpieczyciela Ergo Hestia SA za to ujawnił cudze dane osobowe w ofercie polisy wysłanej pod niewłaściwy adres.

Publikacja: 24.10.2025 19:53

Kiedy zawiadamiać obywatela o naruszeniu ochrony jego danych? Ważny wyrok NSA

Foto: Adobe Stock

Dorota Gajos-Kaniewska

Chodziło o karę w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową. W załączniku były dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe dotyczące innej osoby. Wojewódzki Sąd Administracyjny, po skardze ubezpieczyciela, uchylił decyzję Prezesa UODO. NSA jednak nakazał WSA ponownie rozpatrzyć sprawę i – co istotne – wskazał czym ma się kierować.

Czytaj więcej

136 tys. zł kary przez załącznik do maila - ENEA S.A. ukarana za brak zgłoszenia naruszenia RODO
Dane osobowe
136 tys. zł kary przez załącznik do maila - ENEA S.A. ukarana za brak zgłoszenia naruszenia RODO

Dlaczego sąd uchylił karę dla Ergo Hestia SA?

WSA uznał, że chociaż naruszenie dotyczyło danych tylko jednej osoby i tylko jednej osobie zostały one omyłkowo udostępnione, to jednak incydent wymagał zgłoszenia do Prezesa UODO. Charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał bowiem ustalenie tożsamości osoby, której dane były w mailu.  

Jednocześnie WSA stwierdził , że PUODO nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że spółka Ergo Hestia naruszyła art. 34 ust.1 RODO. PUODO tłumaczy, że naruszenie ochrony danych osobowych mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zdaniem WSA, Prezes UODO nie wykazał przekonująco, że w praktyce możliwe są zdarzenia mogące powodować doniosłe negatywne konsekwencji dla osób, których dane dotyczą. Tymczasem Prezes UODO wskazywał na możliwość legalnego zaciągania zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko, numer PESEL oraz miejscowość i kod pocztowy, oraz że pozwala to na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem.

Prezes UODO wniósł skargę kasacyjną na ten wyrok. Zarzucił WSA błędną wykładnię przepisu art. 34 RODO, polegającą na pominięciu, że czynnikiem, który należy brać pod uwagę, przy analizie ryzyka jest również waga/skutek dla osób fizycznych, a nie tylko prawdopodobieństwo.

Reklama
Reklama

NSA: jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO

NSA stwierdził, że skarga ta zasługuje na uwzględnienie. „Ustalenie, że prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej nie jest małe w połączeniu ze wskazaną wyżej wysoką wagą potencjalnego wpływu naruszenia na prawa lub wolności osoby fizycznej przesądza o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności tej osoby, co nakłada na administratora obowiązek zawiadomienia osoby, której dane dotyczą, o tymże naruszeniu” - wskazał NSA.

Zdaniem Naczelnego Sądu Administracyjnego w tej sprawie istotą sporu było to, czy naruszenie poufności danych, jakie niewątpliwie miało miejsce, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie zgodził się też z sądem niższej instancji, że PUODO niewystarczająco uzasadnił swoją decyzję, czym miał naruszyć art. 107 § 3 kodeksu postępowania administracyjnego.

NSA wskazał też, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO.  Art. 33 ust. 1 nakłada obowiązek zgłoszenia naruszenia organowi nadzorczemu (PUODO) w ciągu 72 godzin, jeśli nie ma ryzyka lub ryzyko jest małe. Art. 34 ust. 1 zobowiązuje administratora do zawiadomienia osób, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko dla ich praw i wolności. 

Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego – przypomniał NSA.

Czytaj więcej

Uznali, że atak hakerski nie jest poważny. Zapłacą 40 tys. zł kary
Dane osobowe
Uznali, że atak hakerski nie jest poważny. Zapłacą 40 tys. zł kary
Reklama
Reklama

Kiedy nie trzeba zgłaszać naruszenia ochrony danych

Sąd zaznaczył, że oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. I ma przy tym zastosować obiektywne kryteriach np.    doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji. Musi też uwzględnić okoliczności konkretnego naruszenia ochrony danych osobowych.

- Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności. Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia – wskazał Sąd.

Przy dokonywaniu oceny, czy występuje takie ryzyko, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych. Czyli co? Na przykład możliwość utraty kontroli nad własnymi danymi osobowymi, negatywne konsekwencje wizerunkowe, możliwość zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, straty finansowe, a nawet negatywny odbiór społeczny, który może być konsekwencją upublicznienia niektórych danych osobowych. - Do zaistnienia ryzyka nie jest konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych – podkreślił NSA.

Incydent z mailem od Ergo Hestia był bardzo ryzykowny w świetle RODO

W ocenie Naczelnego Sądu Administracyjnego, nie ma wątpliwości, że zdarzenie, które miało miejsce w sprawie TU Ergo Hestia SA, może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej przez sam fakt, iż dotyczy danych osobowych w postaci PESEL w powiązaniu z imieniem i nazwiskiem oraz innymi danymi osobowymi.  Wbrew twierdzeniu WSA, nawet pomijając inne dane osobowe, ryzyko naruszenia praw osoby fizycznej jest wysokie.

-  Wiadomo bowiem, że ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń związanych z podaniem numeru PESEL jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany w szczególności do zaciągnięcia kredytu lub pożyczki na cudze dane, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę fizyczną w sprawach dotyczących życia codziennego – wskazał  Naczelny Sąd Administracyjny.

sygn. akt III OSK 1830/22 

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Dane Osobowe Sądy i Trybunały Sądy Administracyjne Naczelny Sąd Administracyjny (NSA) RODO

Chodziło o karę w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową. W załączniku były dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe dotyczące innej osoby. Wojewódzki Sąd Administracyjny, po skardze ubezpieczyciela, uchylił decyzję Prezesa UODO. NSA jednak nakazał WSA ponownie rozpatrzyć sprawę i – co istotne – wskazał czym ma się kierować.

Pozostało jeszcze 92% artykułu
/
artykułów
Czytaj dalej. Subskrybuj
Reklama
Aplikacja mObywatel działa od 2017 roku
W sądzie i w urzędzie
Nowa usługa w aplikacji mObywatel. Pięć razy w miesiącu za darmo
W poszukiwaniu nowego pokolenia prezesów: dlaczego warto dbać o MŚP
Materiał Promocyjny
W poszukiwaniu nowego pokolenia prezesów: dlaczego warto dbać o MŚP
Trybunał Konstytucyjny
Sądy i trybunały
Tak koalicja 15 października „przejmie” Trybunał Konstytucyjny. Jest zapowiedź
Zgodnie z anonimową petycją bezdzietne kobiety miałyby pracować do 65. roku życia – a więc tak długo
Praca, Emerytury i renty
Emerytury bezdzietnych kobiet. Czy petycja ma szansę zmienić prawo?
Prawo jazdy po 65. roku życia. Będą nowe przepisy w Unii Europejskiej
Prawo drogowe
Prawo jazdy po 65. roku życia. Będą nowe przepisy w Unii Europejskiej
Stacje ładowania dla ciężarówek pilnie potrzebne
Materiał Promocyjny
Stacje ładowania dla ciężarówek pilnie potrzebne
Zakaz używania tytułu i bez presji załatwiania zastępstwa na urlopie. Będą nowe przepisy o adwokatur
Zawody prawnicze
Zakaz używania tytułu i bez presji załatwiania zastępstwa na urlopie. Będą nowe przepisy o adwokaturze
Prawnik 4.0 – AI, LegalTech, dane w codziennej praktyce
Materiał Promocyjny
Prawnik 4.0 – AI, LegalTech, dane w codziennej praktyce
Reklama
Reklama
e-Wydanie