Niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki – kara dla komornika sądowego

Prezes UODO po raz kolejny wskazuje jak rozumieć pojęcie „mało prawdopodobne ryzyko”. Naruszenie ochrony danych osobowych może mieć negatywne konsekwencje dla osoby, której dane dotyczą, nawet gdy wszystko pozornie będzie wskazywało, że zainteresowana osoba nie poniesie uszczerbku.

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na komornika sądowego karę pieniężną w wysokości prawie 21 tys. zł: 7700 zł za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, oraz 13 200 zł za niezawiadomienie o tym osoby, której dane dotyczyły. Nakazał też natychmiastowe powiadomienie o naruszeniu ochrony danych osobowych osobę, której dane dotyczą.

W tej sprawie chodzi o komornika sądowego, który przez pomyłkę wysłał pismo o zajęciu wynagrodzenia niewłaściwej osobie. W piśmie tym były m.in.: imię i nazwisko, numer PESEL, adres, kwota zajęcia komorniczego.

Prezes UODO dowiedział się o tym dzięki zawiadomieniu osoby, która była nieuprawnionym odbiorcą tej korespondencji. Osoba ta zawiadomiła także komornika i wskazała, że obawia się, że także jej dane mogły być udostępnione niewłaściwemu adresatowi – jeśli ktoś przez pomyłkę pozamieniał koperty.

Komornik nie powiadomił o incydencie ani Prezesa UODO, ani osoby, której dane dotyczyły.

Brak analizy ryzyka naruszenia

Prezes UODO ustalił, że rzeczywiście w kancelarii komorniczej doszło do pomyłki. Administrator  uznał jednak, że zachodzi „małe prawdopodobieństwo”, iż zdarzenie to może doprowadzić do naruszenia praw lub wolności osoby, której dane dotyczą. Postępowanie Prezesa UODO wykazało, że nie miał podstaw do takiej oceny sytuacji, skoro w ogóle nie zrobił analizy ryzyka naruszenia praw lub wolności osoby objętej naruszeniem.

Dopiero w korespondencji z Prezesem UODO administrator wyjaśnił, że nie zgłosił naruszenia organowi nadzorczemu i nie powiadomił o nim osoby, której dane dotyczą (nie zrealizował obowiązków wynikających z art. 33 i 34 rozporządzenia), gdyż pomyłka była jednostkowym przypadkiem wśród tysięcy wysyłanych listów, a skoro omyłkowy odbiorca przesyłki z powagą podszedł do kwestii ochrony danych osobowych, to jest mało prawdopodobne, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osoby, której dane dotyczą.

Prezes UODO w wydanej decyzji z 23 października 2025 r. wskazał, że takie wyjaśnienia nie wystarczą. Procedura zawiadamiania organu nadzorczego oraz osoby, której dane dotyczą, jest kluczowa dla ochrony danych osobowych. Analiza ryzyka powinna była być więc zrobiona przed podjęciem decyzji o niezawiadamianiu organu nadzorczego.

Aby uznać, że mówimy o ryzyku „mało prawdopodobnym”, należało wykazać, że skutek naruszenia nie urzeczywistni się w ogóle – a zatem „brak ryzyka” (w polskiej wersji RODO użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe).

Poprawna ocena prawdopodobieństwa

Dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny. Naruszenie obejmowało swoim zakresem m.in. numer PESEL osoby. Dlatego w tym wypadku mieliśmy do czynienia z możliwością zmaterializowania się poważnych negatywnych konsekwencji dla osób, których dane dotyczą:

• Z ostatniego raportu infoDOK wynika, że w samym IV kwartale 2024 r. odnotowano 2661 prób wyłudzeń kredytów i pożyczek na łączną kwotę 80 mln zł. W całym 2024 r. odnotowano natomiast 12 331 prób wyłudzeń kredytów na łączną kwotę 324,2 mln zł, zaś w całym 2023 r. 12 409 prób wyłudzeń kredytów.
• Wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna.

W przypadku przesyłki skierowanej do niewłaściwej osoby poprawnie przeprowadzona analiza ryzyka wykazałaby powstanie wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą. A to oznacza, że zarówno Prezes UODO jak i osoba, które dane dotyczą, powinni być o incydencie powiadomieni.

Prezes UODO przypomina, że pomocne w ocenie danej sytuacji są Wytyczne Europejskiej Rady Ochrony Danych (EROD) 9/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO – zwłaszcza działu II dotyczący art. 33 RODO. Z wytycznych tych wynika, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji RODO przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą.

Znaczenie zgłaszania naruszenia i zawiadamiania osoby, objętej naruszeniem

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Prezes UODO weryfikuje, czy administrator poprawnie ocenił naruszenie i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – nakazać ich powiadomienie.

Dzięki zawiadomieniu osoby, których dane dotyczą, otrzymują informacje na temat ryzyka i tego, co mogą zrobić, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia. Same mogą ocenić sytuację i podjąć decyzję, jakie kroki podjąć w danej sytuacji.

Oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby objętej naruszeniem (osoby, której bezpieczeństwo danych zostało zagrożone), a nie interesów administratora. Jest to szczególnie ważne, gdyż jeżeli istnieje ryzyko naruszenia praw lub wolności osoby fizycznej, to w oparciu o informacje zawarte w zawiadomieniu o naruszeniu ochrony danych osobowych osoba ta może sama podjąć działania w celu zapewnienia sobie dodatkowej ochrony (środki zaradcze), według np. wskazówek administratora. Należy pamiętać, że nie każdy ma wiedzę jak zadbać o bezpieczeństwo swoich danych, tj. co można samodzielnie dodatkowo zrobić by je zwiększyć. Dlatego rzetelne informacje od administratora w tym zakresie są ważne.

DKN.5131.17.2024