Rzeczpospolita
Prawo
Reklama

NSA: Dane osobowe wysłane na błędny adres przez pomyłkę pracownika to naruszenie RODO

Pomyłkowe wysłanie korespondencji jednego klienta innemu przez błąd pracownika to nielegalne przetwarzanie danych osobowych, za które administratorowi grozi kara.

Publikacja: 25.02.2026 04:38

NSA: Dane osobowe wysłane na błędny adres przez pomyłkę pracownika to naruszenie RODO

Foto: Adobe Stock

Aleksandra Tarka

Błądzić jest rzeczą ludzką. Gdy jednak myli się pracownik, pracodawca musi liczyć się z konsekwencjami. Zwłaszcza, jeśli w grę wchodzi RODO i wskutek niefortunnego zdarzenia dochodzi do ujawnienia danych osobowych klienta. Potwierdza to jeden z najnowszych wyroków Naczelnego Sądu Administracyjnego (NSA).

Czy przesyłka z danymi osobowymi wysłana na cudzy adres narusza RODO? 

O tym, jak brzemienna w skutkach może okazać się pomyłka pracownika przekonał się bank, na który do prezesa Urzędu Ochrony Danych Osobowych (UODO) poskarżyła się klientka. Kobieta zarzuciła, że instytucja dopuściła się nieprawidłowości w przetwarzaniu jej danych osobowych. A zaczęło się od tego, że w kwietniu 2020 r. złożyła w banku elektronicznie wniosek o konto. Kilka dni później od obcej kobiety dowiedziała się, że ta z tego samego banku dostała dodatkowy komplet dokumentów na jej nazwisko. Znajdowały się w nim m.in. informacje dotyczące polecenia przelewu wynagrodzenia z imieniem i nazwiskiem, PESEL oraz wniosek o zawarcie umowy ubezpieczenia/polisy, na którym widniały wszystkie dane osobowe wnoszącej skargę.

Jeszcze tego samego dnia klientka, która padła ofiarą niefortunnego zdarzenia odebrała swój komplet dokumentów. Incydent telefonicznie zgłosiła w banku i zaczęły się korowody z jego wyjaśnianiem. Kobieta tłumaczyła, że gdy w końcu skontaktował się z nią pracownik banku z przeprosinami, zaproponował jedynie zastrzeżenie dowodu osobistego. Podkreśliła, że instytucja nie poinformowała jej, jakie będą procedury co do dokumentów, które znajdowały się w dalszym ciągu w posiadaniu obcej kobiety. Oliwy do ognia miało dolać to, co klientce, do której przez pomyłkę trafiły dwa komplety dokumentów zalecić miał bank. Poinformowała skarżącą, że kazano jej je spalić albo zanieść do najbliższego punktu.

Bank potwierdził, że faktycznie koperta z umową ubezpieczenia została przez pomyłkę niewłaściwie spakowana do przesyłki innej klientki. Instytucja bardzo szczegółowo opisała, jakie kroki podjęła, żeby zapobiec temu na przyszłość i jak starała się załatwić sprawę oraz zadośćuczynić klientce. Broniła się jednak, że zdarzenie dotyczące naruszenia danych osobowych wynikało wyłącznie z incydentalnego błędu ludzkiego związanego z nieprzestrzeganiem procedur. Prezes UODO i tak sięgnął po sankcję. Skończyło się na upomnieniu, ale bez wątpienia zdaniem urzędników udostępnienie – choć przypadkowe – nie miało oparcia w żadnej przesłance legalizującej proces przetwarzania. A do tego nastąpiło z naruszeniem zasady poufności danych. Taki obrót sprawy nie zadowolił ukaranego. Przede wszystkim przekonywał, że feralnego zdarzenia nie można w ogóle kwalifikować jako operacji przetwarzania danych. W konsekwencji UODO nie powinien zajmować się skargą klientki w trybie art. 77 RODO.

Reklama
Reklama

Czy administratora danych można ukarać za nieumyślny błąd pracownika? 

Dużo to nie dało. Najpierw skargę banku oddalił Wojewódzki Sąd Administracyjny (WSA) w Warszawie. A jego przegraną ostatecznie przypieczętował NSA, który musiał przesądzić, czy incydent kwalifikowany jako naruszenie ochrony danych osobowych może równocześnie stanowić ich przetwarzanie. Zdaniem sądu kluczowe znaczenie dla odpowiedzi na to pytanie ma wzajemna relacja pojęć przetwarzania danych osobowych i naruszenia ich ochrony. Wskazał przy tym na definicje z RODO oraz ich szerokie rozumienie poparte orzecznictwem unijnym, w świetle którego każda operacja wykonywana na danych osobowych stanowi ich przetwarzanie. 

Czytaj więcej

Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA
Dane osobowe
Kto odpowie za wyciek danych w SGGW? Jest precedensowy wyrok NSA

Sąd nie kwestionował, że nadanie korespondencji do błędnego adresata na skutek pomyłki pracownika, przez co doszło do nieuprawnionego ujawnienia danych osobowych, stanowi naruszenie bezpieczeństwa i prowadzi do nieuprawnionego dostępu do danych. Niemniej w opinii NSA nie wyklucza to kwalifikacji czynności skutkującej jego wystąpieniem jako przetwarzania danych. Zauważył, że do naruszenia ochrony danych może dojść zarówno na skutek działania osoby trzeciej, która w sposób nieuprawniony pozyskuje dostęp do zgromadzonych danych, np. w razie ataku hakerskiego, lub na skutek błędu czy pomyłki pracownika administratora. Jak bowiem tłumaczył sędzia NSA Zbigniew Ślusarczyk, kwalifikacja danego incydentu jako operacji przetwarzania danych zależy od tego, czy ze strony administratora lub podmiotu przetwarzającego miało miejsce działanie mogące zostać uznane za przetwarzanie danych i prowadzące do naruszenia ich ochrony.

Czy obywatel może poskarżyć się na bezprawne przetwarzanie jego danych osobowych?

W spornej sprawie operacją na danych było nadanie przez bank korespondencji zawierającej dane klientki do nieuprawnionej osoby trzeciej. Przy czym wymogiem przyjęcia przetwarzania danych nie jest umyślność. Operacja na danych osobowych jest bowiem czynnością faktyczną, która może być podejmowana zarówno umyślnie, jak i nieumyślnie, w ramach błędu, pomyłki czy podobnych zdarzeń. Zdaniem NSA również okoliczność, czy proces przetwarzania danych osobowych odbył się zgodnie z intencją, zamiarem administratora czy przetwarzającego też nie ma znaczenia. I choć podkreślił, że należy odróżnić pojęcie przetwarzania danych od ich bezpieczeństwa. Dane oczywiście muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo. Nie oznacza to jednak, że operacja na danych podejmowana z naruszeniem tego obowiązku traci walor przetwarzania. Dlatego rację ma WSA, że w sprawie miało miejsce przetwarzanie danych osobowych przez ujawnienie ich na skutek błędu pracownika banku innej klientce. Udostępnienie to zaś nie znajdowało oparcia w żadnej z podstaw legalizujących z art. 6 ust. 1 RODO.

Czytaj więcej

Naczelny Sąd Administracyjny
Dane osobowe
Marketing przez telefon po wycofaniu na to zgody narusza RODO. Wyrok NSA

NSA nie przekonała też koncepcja, że sporne postępowanie trzeba było umorzyć jako bezprzedmiotowe. Przypomniał, że prawo ochrony danych osobowych ma umocowanie w art. 51 Konstytucji RP. Jego realizacja następuje zaś m.in. w drodze skargi do organu nadzorczego, jakim jest prezes UODO. To jednostka jest dysponentem prawa do jej wniesienia, więc z uprawnieniem tym koresponduje obowiązek załatwienia sprawy merytorycznie, a nie umorzenie postępowania. Zwłaszcza, że w opinii NSA wykładnia banku powodowałaby iluzoryczność uprawnienia osób, których dane zostały naruszone m.in. w ten sposób, jak w spornej sprawie. W takim przypadku upomnienie stanowi zaś odpowiedni, niezbędny i proporcjonalny środek naprawczy. Wyrok jest prawomocny.

Reklama
Reklama

Sygnatura akt: III OSK 178/23

Paweł Litwiński
adwokat, partner w kancelarii Barta Litwiński

Komentowane orzeczenie jest ważne z uwagi na powszechność spornego problemu. Potencjalnie może on przecież dotknąć każdego administratora, bo błędy ludzkie zdarzają się wszędzie. Warto też zwrócić uwagę na ryzyko, jakie niesie ze sobą sankcja zazwyczaj stosowana za takie naruszenia, czyli upomnienie. Na pierwszy rzut oka może wydawać się ono karą mniej dotkliwą. Niemniej w dłuższej perspektywie może okazać się bardzo brzemienna w skutkach. Wcześniejsze upomnienia mają bowiem wpływ na zastosowanie kary finansowej lub mogą rzutować na jej wymiar w przypadku późniejszych ewentualnych naruszeń RODO. W spornym przypadku chodziło o pomyłkę pracownika, który wysyłał dane osobowe klienta do kogoś, kto nie powinien ich dostać. Trzeba to odróżnić od sytuacji, gdy np. bank pada ofiarą ataku z zewnątrz i atakujący wykrada dane osobowe jego klientów. Co prawda w obydwu przypadkach dochodzi do naruszenia ochrony danych osobowych poprzez ujawnienie ich osobie nieuprawnionej. Z tym, że tylko w pierwszym przypadku naruszenie jest następstwem przetwarzania danych przez pracownika administratora, czyli przez kogoś, za kogo ponosi on odpowiedzialność. W konsekwencji naruszenie jest wynikiem działania administratora danych, osoba nim dotknięta jest uprawniona do złożenia skargi, a prezes UODO do prowadzenia postępowania i do udzielenia upomnienia. Z kolei, gdyby naruszenie było wywołane nieodpowiednim zabezpieczeniem danych, to zgodnie z orzecznictwem, takie postępowanie może wszcząć wyłącznie prezes UODO z urzędu, w tym przypadku badając zgłoszenie naruszenia złożone przez bank.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Bankowość Banki Technologie Dane Osobowe Sądy i Trybunały Sądy Administracyjne Naczelny Sąd Administracyjny (NSA) Wojewódzki Sąd Administracyjny (WSA) Internet Oszczędzanie RODO Urząd Ochrony Danych Osobowych (UODO) Osobiste Konto Inwestycyjne (OKI)
Czy sąsiad może żądać zwrotu pieniędzy za ogrodzenie? Oto, co mówią przepisy
Nieruchomości
Sąsiad chce zwrotu pieniędzy za płot? Ważne są dwie kwestie
Do zwiększenia obrotów silnika powinno dojść na skutek działania kierującego - podkreślił w uzasadni
Prawo drogowe
Sąd: odstawienie prawej nogi to błąd eliminujący kierowcę
Od 1 marca zwaloryzowana zostanie m.in. wysokość renty z tytułu całkowitej niezdolności do pracy
Praca, Emerytury i renty
Tyle wyniosą świadczenia po waloryzacji. ZUS podał kwoty
Nie wszyscy seniorzy dostaną 13. emeryturę. Świadczenie nie przysługuje kilku grupom emerytów
Praca, Emerytury i renty
13. emerytura nie dla każdego. Ci seniorzy nie otrzymają świadczenia
Dove Self-Esteem: Wsparcie dla nastolatków
Materiał Promocyjny
Dove Self-Esteem: Wsparcie dla nastolatków
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama
Reklama