Rzeczpospolita
Prawo
Reklama

Były pracownik zajrzał do baz z danymi, administrator zapłaci krocie. Wyrok NSA

Przetwarzanie danych osobowych obejmuje już sam dostęp do nich. W przypadku naruszenia nie jest istotne, czy osoba nieuprawniona faktycznie się z nimi zapoznała, tylko to, że takie ryzyko wystąpiło.

Publikacja: 09.03.2026 14:45

Naczelny Sąd Administracyjny

Naczelny Sąd Administracyjny

Foto: PAP/Marcin Kaliński

Aleksandra Tarka

Naczelny Sąd Administracyjny (NSA) oddalił skargę kasacyjną jednego z banków, który został ukarany ponad półmilionową karą za naruszenie RODO. A konkretnie za niezawiadomienie bez zbędnej zwłoki o naruszeniu ochrony danych osób, których te dane dotyczyły.

Czy administrator ma obowiązek informowania o naruszeniu danych osobowych?

Bank wpadł w tarapaty przez byłą pracownicę, której nie skasowano dostępu do baz. Odkrył, że kobieta, której po rozwiązaniu umowy zapomniano odebrać dostęp do Platformy Usług Elektronicznych, kilkukrotnie logowała się do niej. I mogła w ten sposób przeglądać na profilu płatnika dane pracowników banku nie tylko w zakresie ich imion i nazwisk, numerów PESEL czy adresu, ale także informacje o zwolnieniach lekarskich. Instytucja sama zawiadomiła prezesa Urzędu Ochrony Danych Osobowych (UODO) o naruszeniu ochrony danych 10 500 osób. Administrator zrezygnował natomiast z powiadamiania ich o naruszeniu. Tłumaczył, że w trakcie zatrudnienia kobieta miała dostęp do znacznie szerszego katalogu danych pracowniczych, co wynikało z jej funkcji kierowniczej w departamencie kadr. Miało za tym przemawiać też to, że była pracownica sama zgłosiła byłemu pracodawcy nieuprawniony dostęp do platformy.

Czytaj więcej

Słona kara za wyciek danych jednej osoby. Ważny wyrok NSA
Dane osobowe
Słona kara za wyciek danych jednej osoby. Ważny wyrok NSA

Wyjaśnienia te nie przekonały prezesa UODO. Nałożył on karę za niezawiadomienie o naruszeniu potencjalnych poszkodowanych i nakazał wypełnić obowiązek informacyjny w terminie trzech dni. Prezes UODO przypomniał, że w przypadku możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o tym osobę, której dane dotyczą. A w spornej sprawie takie ryzyko UODO ocenił na wysokie. 

Nie przekonał go też argument o potraktowaniu „sprawczyni” naruszenia jako odbiorcy zaufanego. Jak bowiem zauważył UODO, status odbiorcy zaufanego posiadają ci, którzy działają w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy nimi istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. Taka sytuacja nie ma miejsca w sprawie, a o braku występowania odbiorcy zaufanego świadczy sam fakt pięciokrotnego zalogowania się do systemu przez byłego pracownika przy braku uprawnień. Prezes UODO podkreślił również, że w sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi innych osób. Wystarczy samo ryzyko, które z uwagi na zakres danych było wysokie.

Reklama
Reklama

Czy były pracownik kadr może być uznany za odbiorcę zaufanego? 

Bank zaskarżył karę, ale wiele nie wskórał. Najpierw racji odmówił mu Wojewódzki Sąd Administracyjny (WSA) w Warszawie. Zgodził się, że sama możliwość nieograniczonego dostępu przez byłego pracownika, do wielce wrażliwych danych, które dotyczyły aż 10 500 osób, powoduje istnienie wysokiego ryzyka dla praw i wolności. O wysokim ryzyku świadczy zaś nie tylko zakres danych zgromadzonych na platformie, ale też bardzo długi czas, w jakim skarżący tolerował nieuprawniony dostęp i oczywiście liczba osób dotkniętych potencjalnym naruszeniem ich danych osobowych. W ocenie WSA, skoro więc zaistniało wysokie ryzyko dla praw i wolności osób, to istniał bezwzględny obowiązek zawiadomienia z art. 34 RODO. Przy czym sądu nie przekonało to, że bank wywiązał się z obowiązku zawiadomienia, zamieszczając informację w intranecie.

Czytaj więcej

List z banku trafił pod zły adres. Pomyłka okazała się brzemienna w skutki
Dane osobowe
List z banku trafił pod zły adres. Pomyłka okazała się brzemienna w skutki

Ostatecznie przegraną banku przypieczętował NSA, który nie miał wątpliwości, że w świetle spornego art. 34 RODO w samym pojęciu ryzyka mieści się prawdopodobieństwo. Ryzyko to przecież prawdopodobieństwo wystąpienia jakichkolwiek negatywnych skutków. Ponadto z motywów RODO wynika, że prawdopodobieństwo i ryzyko naruszenia praw oraz wolności osoby, której dane dotyczą określa się poprzez odniesienie do charakteru, zakresu, kontekstu i celu przetwarzania. Znaczenie przy ochronie danych może mieć także samo rozumienie przetwarzania danych. A jak podkreślił sędzia NSA Wojciech Jakimowicz, przetwarzanie danych to także sam do nich dostęp.

Co do zaufania, to NSA nie kwestionował, że może ono mieć wpływ na ostateczne konsekwencje w przypadku naruszenia. Niemniej w spornej sprawie zaufanie do byłego pracownika co najmniej budzi wątpliwości. Sądu nie przekonały również argumenty o tym, że bank poinformował pracowników o naruszeniu, bo informacja była bardzo ogólna i nie mogła wzbudzić poczucia nawet u osób zatrudnionych, że coś złego działo się z ich danymi. Zdaniem NSA w sprawie słusznie uznano też, że chodziło również o szczególnie wrażliwe dane. Sama informacja o zwolnieniu lekarskim świadczy bowiem o tym, że są jakieś kwestie zdrowotne uniemożliwiające pracę. A przepis mówi ogólnie o danych dotyczących zdrowia. Wyrok jest prawomocny.

Sygnatura akt: III OSK 377/23  

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: rp.pl

Fotoradary. Właściciel auta nie musi donosić na samego siebie
Prawo karne
Fotoradary. Właściciel auta nie musi donosić na samego siebie
Bezpieczeństwo to nie dodatek. To fundament systemu płatności
Materiał Promocyjny
Bezpieczeństwo to nie dodatek. To fundament systemu płatności
Dane zamiast deklaracji. ESG oparte na faktach
Materiał Promocyjny
Dane zamiast deklaracji. ESG oparte na faktach
Sądy będą mogły więcej w sprawach ZUS? Rząd szykuje zmiany
Praca, Emerytury i renty
Sądy będą mogły więcej w sprawach ZUS? Rząd szykuje zmiany
Przez wojnę nie możesz wrócić z urlopu? Co na to prawo pracy
Praca, Emerytury i renty
Przez wojnę nie możesz wrócić z urlopu? Co na to prawo pracy
Samolot linii Enter Air zabrał do Polski klientów biura podróży Itaka, którzy spędzali wakacje w Oma
Ubezpieczenia i odszkodowania
Odwołane loty w obliczu wojny z Iranem. Kto ma szansę odzyskać pieniądze?
Reklama
Reklama
e-Wydanie
REKLAMA: automatycznie wyświetlimy artykuł za 15 sekund.
Reklama