Naruszenie ochrony danych osobowych bardzo rzadko zaczyna się od spektakularnego błędu. Najczęściej jest to pomyłka techniczna, rutynowa czynność wykonana automatycznie albo pojedynczy incydent wśród setek podobnych operacji. Właśnie dlatego tak łatwo uznać, że „nic się nie stało” i że ryzyko dla osoby, której dane dotyczą, jest znikome.
Prezes UODO po raz kolejny pokazuje jednak, że intuicyjna ocena ryzyka to za mało. Sprawa komornika sądowego, na którego nałożono karę finansową, jasno pokazuje, że brak rzetelnej analizy ryzyka i zaniechanie zgłoszenia naruszenia mogą prowadzić do realnych konsekwencji finansowych. Nawet wtedy, gdy administrator jest przekonany, że incydent miał charakter jednostkowy i niegroźny.
fot. z zasobów Canvy Pro
Jeden list, jedna pomyłka, realne konsekwencje
Sprawa dotyczyła zdarzenia, do którego doszło w trakcie wykonywania czynności o charakterze rutynowym w działalności kancelarii komorniczej. Komornik sądowy wysłał pismo o zajęciu wynagrodzenia do niewłaściwej osoby. W korespondencji znalazły się dane osobowe, w tym imię i nazwisko, numer PESEL, adres oraz informacje dotyczące zajęcia komorniczego.
Po stwierdzeniu naruszenia komornik, jako administrator danych osobowych, nie zgłosił incydentu Prezesowi Urzędu Ochrony Danych Osobowych ani nie zawiadomił osoby, której dane dotyczyły, mimo że obowiązki te wynikają wprost z przepisów RODO. Informacja trafiła do Prezesa UODO dopiero w chwili, gdy nieuprawniony odbiorca przesyłki sam zgłosił sprawę, zwracając uwagę na ryzyko, że w wyniku pomyłki mogło dojść również do ujawnienia jego danych.
Komornik uznał, że nie ma podstaw do zgłoszenia naruszenia ani do zawiadomienia osoby, której dane dotyczą. W jego ocenie ryzyko naruszenia praw lub wolności osoby było „mało prawdopodobne”, a samo zdarzenie miało charakter jednostkowy, incydentalny na tle tysięcy prawidłowo realizowanych wysyłek. Administrator wskazywał również, że omyłkowy odbiorca przesyłki podszedł do sprawy z należytą powagą, co w jego przekonaniu dodatkowo przemawiało za brakiem realnego zagrożenia dla osoby, której dane ujawniono.
To właśnie ta ocena stała się kluczowym problemem.
Brak analizy ryzyka to naruszenie obowiązków
Postępowanie wykazało, że administrator w ogóle nie przeprowadził analizy ryzyka naruszenia praw lub wolności osoby fizycznej. Ocena została oparta na założeniu, że skoro pomyłka zdarzyła się raz i odbiorca wykazał się odpowiedzialnym podejściem, to nie ma realnego zagrożenia.
Prezes UODO jednoznacznie wskazał, że takie wyjaśnienia są niewystarczające. Procedura postępowania po naruszeniu nie polega na subiektywnym przekonaniu administratora, lecz na rzetelnej, udokumentowanej analizie ryzyka, która powinna poprzedzać decyzję o dalszych krokach. Jeżeli przeprowadzona analiza ryzyka nie pozwala na uznanie, że naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem dla praw lub wolności osoby fizycznej, administrator nie ma podstaw do odstąpienia od obowiązków określonych w art. 33 i 34 RODO, czyli zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia osoby, której dane dotyczą.
W konsekwencji stwierdzonych naruszeń Prezes UODO wydał decyzję, w której nałożył na komornika karę finansową:
- 7 700 zł za niezgłoszenie naruszenia Prezesowi UODO bez zbędnej zwłoki,
- 13 200 zł za niezawiadomienie osoby, której dane dotyczyły.
Decyzja Prezesa UODO obejmowała również nakaz niezwłocznego zawiadomienia osoby, której dane zostały objęte naruszeniem.
Czym naprawdę jest „mało prawdopodobne ryzyko”?
Jednym z kluczowych elementów omawianej decyzji jest sposób, w jaki Prezes UODO wyjaśnia, jak należy rozumieć pojęcie „mało prawdopodobnego ryzyka”, którym posługuje się polska wersja RODO. To właśnie na tym etapie bardzo często dochodzi do błędnych interpretacji po stronie administratorów danych.
Prezes UODO zwrócił uwagę, że polskie sformułowanie może być mylące, jeżeli jest interpretowane potocznie. Dla prawidłowej oceny znaczenia tego pojęcia konieczne jest sięgnięcie do wersji angielskiej rozporządzenia, w której użyto terminu unlikely.
Jak podkreślono w decyzji, unlikely oznacza coś raczej nieprawdopodobnego, wątpliwego lub niemal niemożliwego. Nie odnosi się do sytuacji, w której ryzyko jest jedynie niewielkie lub mało istotne. Chodzi o przypadki, w których brak jest realnych szans na urzeczywistnienie się negatywnych skutków naruszenia.
Prezes UODO jednoznacznie wskazał, że:
„mało prawdopodobne ryzyko” nie jest tożsame z „niskim ryzykiem”.
To rozróżnienie ma fundamentalne znaczenie dla obowiązków administratora po wystąpieniu naruszenia ochrony danych osobowych.
Innymi słowy, aby móc uznać, że ryzyko jest „mało prawdopodobne”, administrator musiałby wykazać, że skutki naruszenia w ogóle się nie zmaterializują. Oznacza to w praktyce bardzo wysoki próg oceny, który w wielu przypadkach nie będzie możliwy do spełnienia, zwłaszcza gdy naruszenie dotyczy danych o istotnym znaczeniu dla bezpieczeństwa osoby fizycznej.
Dlaczego w tej sprawie ryzyko było wysokie?
Naruszenie obejmowało numer PESEL, czyli dane o szczególnie dużym potencjale nadużyć. Prezes UODO, oceniając wagę ryzyka, nie poprzestał na abstrakcyjnych rozważaniach, lecz odwołał się do realnych zagrożeń.
W decyzji wskazano, że wykorzystanie numeru PESEL stanowi realne narzędzie do kradzieży tożsamości i wyłudzeń finansowych. Na potwierdzenie tego przywołano dane z raportów infoDOK, z których wynika, że skala takich nadużyć w Polsce ma charakter masowy, a nie incydentalny. Tylko w IV kwartale 2024 r. odnotowano 2661 prób wyłudzeń kredytów i pożyczek na łączną kwotę 80 mln zł, a w całym 2024 r., ponad 12 tys. takich prób o wartości przekraczającej 324 mln zł. Podobna liczba wyłudzeń była notowana również w latach wcześniejszych, co potwierdzają liczne orzeczenia sądowe w tego typu sprawach.
W samej analizie ryzyka należało więc uwzględnić w szczególności:
- charakter danych oraz możliwość ich wykorzystania do kradzieży tożsamości i wyłudzeń,
- udokumentowaną skalę rzeczywistych nadużyć, a nie jedynie teoretyczne scenariusze,
- brak jakiejkolwiek kontroli administratora nad dalszym postępowaniem nieuprawnionego odbiorcy przesyłki.
W takich okolicznościach poprawnie przeprowadzona analiza ryzyka musiała prowadzić do wniosku, że istnieje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. A to z kolei oznaczało obowiązek zarówno zgłoszenia naruszenia organowi nadzorczemu, jak i zawiadomienia osoby, której dane dotyczą.
Ocena ryzyka to perspektywa osoby, nie administratora
Prezes UODO wyraźnie podkreślił jeszcze jeden element, który w praktyce bywa pomijany. Oceny ryzyka należy dokonywać z perspektywy osoby, której dane dotyczą, a nie przez pryzmat interesów, komfortu czy przekonań administratora.
To osoba, której dane zostały ujawnione, ponosi potencjalne konsekwencje naruszenia. To ona musi mieć możliwość: oceny sytuacji, podjęcia działań ochronnych, skorzystania z informacji przekazanych przez administratora.
Brak zawiadomienia uniemożliwia jej skorzystanie z tych informacji w odpowiednim momencie. Przy ocenie obowiązków administratora decydujące znaczenie ma analiza ryzyka, a nie indywidualna ocena zachowania osoby, która otrzymała dane.
Zgłoszenie naruszenia to narzędzie ochrony, a nie sankcja
Prezes UODO przypomina, że zgłaszanie naruszeń nie jest karą dla administratora. To mechanizm, który realnie poprawia bezpieczeństwo przetwarzania danych i pozwala organowi nadzorczemu zweryfikować, czy ocena ryzyka została przeprowadzona prawidłowo.
Dzięki zawiadomieniu osoby, której dane dotyczą, administrator daje jej szansę na podjęcie działań ochronnych. W praktyce nie każdy wie, jak zabezpieczyć swoje dane po incydencie. Rzetelna informacja ma tu realne znaczenie.
Decyzja Prezesa UODO po raz kolejny pokazuje, że RODO nie zostawia przestrzeni na uproszczenia i intuicyjne oceny. Brak zgłoszenia naruszenia musi być wynikiem świadomej, udokumentowanej analizy ryzyka, a nie przekonania, że „to tylko jeden przypadek”.
Jeżeli w organizacji pojawiają się wątpliwości dotyczące kwalifikacji naruszeń, analizy ryzyka albo obowiązków zgłoszeniowych, warto je uporządkować, zanim zrobi to organ nadzorczy.
Skontaktuj się z nami: bok@asystahr.pl
