DKN.5131.15.2024

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572), art. 7 ust. 1 i 2 oraz art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h) oraz art. 58 ust. 2 lit. b) w związku z art. 34 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1,  Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej jako rozporządzenie 2016/679, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez A Sp. z o.o. sp.k. (ul. (.…) Ł), Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez A Sp. z o.o. sp.k. (ul. (…) Ł) art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na nieprzekazaniu bez zbędnej zwłoki osobie, której dane dotyczą, zawiadomienia o naruszeniu ochrony jej danych osobowych, udziela A Sp. z o.o. sp.k. (ul. (…) Ł) upomnienia.

Uzasadnienie

A Sp. z o.o. (ul. (…) Ł), dalej jako Administrator, w dniu 6 listopada 2021 r. poinformowała Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej Prezesem UODO lub organem nadzorczym, o wystąpieniu u niej naruszenia ochrony danych osobowych. Z przekazanej informacji wynikało, że nastąpiło „Omyłkowe udostępnienie danych osobowych osobie nieupoważnionej – wysłanie wiadomości elektronicznej z aneksem do umowy rezerwacyjnej obejmującym dane osobowe na omyłkowo wpisany adres osoby trzeciej”. Sprawa została zarejestrowana pod sygn. (…)

Z uwagi na to, że Administrator do ww. informacji nie dołączył formularza zgłoszenia naruszenia ochrony danych osobowych Prezes UODO pismem z 30 października 2023 r. wezwał Administratora do jego przedstawienia. W odpowiedzi na powyższe wezwanie, 9 listopada 2023 r. wpłynęło zgłoszenie naruszenia ochrony danych osobowych nadesłane przez Administratora.

W treści zgłoszenia naruszenia ochrony danych osobowych Administrator wskazał, że przyczyną naruszenia było wewnętrzne niezamierzone działanie. Określony został ponadto charakter naruszenia – Administrator wskazał, że doszło do naruszenia poufności danych. Administrator określił, że naruszenie ochrony danych osobowych dotyczy jednej osoby, a kategorie danych osobowych, które zostały naruszone, obejmują: imię i nazwisko, adres zamieszkania lub pobytu, adres e-mail, numer ewidencyjny PESEL, serię i numer dowodu osobistego oraz numer telefonu.W treści zgłoszenia naruszenia Administrator określił kategorię osób, których dotyczy naruszenie, wskazując, że obejmuje ono klientów obecnych i potencjalnych.

Ponadto, Administrator wskazał w zgłoszeniu naruszenia ochrony danych osobowych, że osoba, której dane dotyczącą, została zawiadomiono o naruszeniu ochrony jej danych osobowych za pomocą wiadomości e-mail w dniu 4 listopada 2021 r., jednakże nie przedłożył treści zawiadomienia przesłanego do tej osoby. Następnie pismami, które wpłynęły do Urzędu Ochrony Danych Osobowych 6 marca i 17 czerwca 2024 r., Administrator przekazał treść wiadomości e-mail skierowanych do ww. osoby, mających potwierdzić wypełnienie przez niego obowiązku jej zawiadomienia o naruszeniu ochrony danych osobowych.

Po dokonaniu przez organ nadzorczy analizy przekazanej przez Administratora treści ww. wiadomości elektronicznych Prezes UODO stwierdził, że nie zawierają one wszystkich informacji, jakie administrator jest zobowiązany przekazać osobie, której dane dotyczą, w związku z naruszeniem ochrony danych osobowych, stosownie do art. 34 ust. 2 rozporządzenia 2016/679. Z uwagi na powyższe, działając w oparciu o art. 52 ust. 1 ustawy o ochronie danych osobowych oraz art. 34 ust. 4 rozporządzenia 2016/679, organ nadzorczy wystąpieniem z 9 lipca 2024 r. zwrócił się do Administratora o podjęcie działań mających na celu: 1) niezwłoczne prawidłowe zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych; 2) przekazanie tej osobie szczegółowych informacji dotyczących charakteru naruszenia, w tym zakresu danych objętych naruszeniem; 3) wskazanie imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 4) przekazanie tej osobie szczegółowych informacji dotyczących opisu możliwych konsekwencji naruszenia ochrony danych osobowych; 5) przekazanie tej osobie szczegółowych informacji dotyczących opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków; 6) wyeliminowanie podobnych nieprawidłowości w przyszłości.

W związku z brakiem odpowiedzi na ww. wystąpienie Prezes UODO pismem z 19 września 2024 r. wezwał Administratora o wskazanie, czy podjął działania wymienione w tym wystąpieniu, tj. czy zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, przekazując jej wszystkie wymagane informacje, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679. W odpowiedzi, pismem z 25 września 2024 r. Administrator wskazał, że „po stwierdzeniu incydentu administrator powiadomił osobę, której dane dotyczą telefonicznie oraz za pośrednictwem poczty elektronicznej, a to w sposób wskazany w załączonych wydrukach” oraz „naruszenie miało charakter jednostkowy i ograniczony, a nadto wobec podjęcia działań zapobiegających dalszemu nieuprawnionemu udostępnianiu danych oraz wobec publicznego charakteru części danych, których dotyczył incydent, naruszenie nie spowodowało wysokiego ryzyka naruszenia praw lub wolności osób fizycznych”. Ponadto, Administrator do tego pisma załączył zrzuty ekranu z wiadomościami e-mail przesłanymi do osoby objętej naruszeniem ochrony danych osobowych.

Z uwagi na to, że Administrator do ww. pisma dołączył te same zrzuty ekranu, które już uprzednio przekazał w załączeniu do pism z 6 marca i 17 czerwca 2024 r. Prezes UODO pismem z 10 października 2024 r. wszczął z urzędu wobec Administratora postępowanie administracyjne w sprawie braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie.

Administrator ustosunkował się pisemnie do stwierdzonego naruszenia przepisów o ochronie danych osobowych, stanowiącego przedmiot postępowania administracyjnego, wymienionego w zawiadomieniu o wszczęciu postępowania i pismami z 21 października 2024 r., 15 listopada 2024 r. oraz 6 grudnia 2024 r. przesłał wyjaśnienia dotyczące ww. naruszenia ochrony danych osobowych oraz przedstawił treść ponownego zawiadomienia o naruszeniu ochrony danych osobowych skierowanego do osoby, której dane dotyczą. Dołączone do pisma z 15 listopada 2024 r. zawiadomienie skierowane do osoby objętej naruszeniem zawierało wszystkie informacje określone w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679.

W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

I.  Naruszenie art. 34 ust. 1 i 2 rozporządzenia 2016/679.

Zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Art. 34 ust. 2 rozporządzenia 2016/679 stanowi, że zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Wobec powyższego zawiadomienie, oprócz opisu charakteru naruszenia ochrony danych osobowych, powinno zawierać:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W wyniku przeprowadzonej analizy zgłoszonego przez Administratora naruszenia ochrony danych osobowych, w której wzięto pod uwagę charakter naruszenia, czas jego trwania, kategorie danych, liczbę osób, których dotyczyło naruszenie oraz zastosowane środki naprawcze, Prezes UODO uznał, że naruszenie poufności danych, w szczególności danych dotyczących imienia i nazwiska, adresu zamieszkania lub pobytu, adresu e-mail, numeru ewidencyjnego PESEL, serii i numeru dowodu osobistego oraz numeru telefonu, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w związku z czym konieczne jest zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych i przekazanie jej wszystkich informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679.

Podkreślić należy, że w sytuacji, gdy na skutek naruszenia ochrony danych osobowych występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zobowiązany jest na podstawie art. 34 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Jak wskazują Wytyczne Europejskiej Rady Ochrony Danych (dalej: „EROD”) nr 9/2022[1], przyjęte 28 marca 2023 r., dalej jako Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód, co oznacza, że z ww. naruszeniem ochrony danych osobowych wiąże się wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie ulega również wątpliwości, że zakres danych objęty przedmiotowym naruszeniem pozwala na jednoznaczną identyfikację osoby, której dane dotyczą.

Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Takie zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide:  https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci - gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”). W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia. W Wytycznych 9/2022 podkreślono, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane.

Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych EROD nr 01/2021[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy oraz numer ubezpieczenia społecznego wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.

Europejska Rada Ochrony Danych nie ma zatem najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.

Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w  wyroku z 22 września 2021 r., sygn. akt II SA/Wa 791/21, stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem”. Dalej Sąd w przywołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.” Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, że: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne). Wskazać również należy na wyrok z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 oraz 6 listopada 2023 r., sygn. akt II SA/Wa 996/23. Natomiast Naczelny Sąd Administracyjny w wyroku z 6 grudnia 2023 r., sygn. akt III OSK 2931/21, wskazał, że „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych (…)”.

Z raportu infoDOK^[3] (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w III kwartale 2024 r. odnotowano 3 373 prób wyłudzeń kredytów i pożyczek, na kwotę 81,7 mln zł. W ciągu ostatnich dwunastych miesięcy natomiast łączna kwota udaremnionych prób wyłudzeń kredytów wynosi 332,5 mln zł. Ponadto wskazać należy, iż dla przykładu w IV kwartale 2022 r. odnotowano 2 269 prób wyłudzeń kredytów i pożyczek, na kwotę 40,2 mln zł^[4]. Oznacza to znaczący wzrost prób wyłudzeń kredytów i pożyczek w prezentowanym okresie.

Ponadto, jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.

W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (...) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e - mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.

Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:

- wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe – wskazane w umowie pożyczki – były nieprawdziwe. „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy – zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 – świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;

- wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu  o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (...)”;

- wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…]  dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy – w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.

Trzeba mieć także na uwadze, że prawidłowe wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679, związane m.in. z koniecznością przekazania bez zbędnej zwłoki w ramach zawiadomienia o naruszeniu ochrony danych osobowych wszystkich wymaganych informacji, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679, nie może być uzależniane od zaistnienia naruszenia praw lub wolności tej osoby w wyniku materializacji możliwych negatywnych konsekwencji naruszenia (por. wyroki Wojewódzkiego Sądu Administracyjnego w Warszawie z 22 września 2021 r., sygn. II SA/Wa 791/21, z 1 lipca 2022 r., sygn. akt II SA/Wa 4143/21, z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).

Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zawiadomienie o naruszeniu osób, których dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą (jak wyżej wykazano), to wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek zawiadomienia o naruszeniu osoby, której dane dotyczą.

W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw i wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia.

Odnosząc powyższe do przedmiotowej sprawy wskazać należy, iż z uwagi na zakres danych osobowych objętych naruszeniem ochrony danych osobowych zgłoszonym przez Administratora organowi nadzorczemu, powodujący wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, był on zobowiązany do zawiadomienia bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, stosownie do wymogu wynikającego z art. 34 ust. 1 i 2 rozporządzenia 2016/679, czego nie uczynił. Przedłożone bowiem przez Administratora w załączeniu do pism z 6 marca i 17 czerwca 2024 r. zrzuty ekranu z wiadomościami e-mail skierowanymi do ww. osoby nie zawierały żadnego z elementów wymaganych tymi przepisami rozporządzenia 2016/679. Prawidłowe zawiadomienie tej osoby o naruszeniu ochrony danych osobowych nastąpiło dopiero 14 listopada 2024 r. (data nadania pisma), a więc już po wszczęciu przez Prezesa UODO postępowania administracyjnego w tej sprawie i po ponad 3 latach od wystąpienia tego naruszenia. Nie sposób zatem przyjąć, że Administrator zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony jej danych osobowych bez zbędnej zwłoki, co przesądza naruszeniu przez niego art. 34 ust. 1 i 2 rozporządzenia 2016/679.

Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych - należy w pierwszej kolejności brać pod uwagę te wartości.

Podkreślić należy, że zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia mu podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. W. Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak - Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobie, której dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony jej danych osobowych wraz z opisem m.in. środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osoby, której dane dotyczą, Administrator powinien był bez zbędnej zwłoki zapewnić tej osobie możliwość jak najlepszej ochrony jej danych osobowych.

II. Uzasadnienie udzielenia upomnienia.

Na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznał za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 34 ust. 1 i 2 rozporządzenia 2016/679.

Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 34 ust. 1 i 2 rozporządzenia 2016/679 jest środkiem wystarczającym. Brak zawiadomienia osoby, której dane naruszono, jest bowiem jednorazowym zdarzeniem, a zatem nie mamy do czynienia z systematycznym działaniem lub zaniechaniem, które stanowiłoby poważne zagrożenie dla praw lub wolności osób, których dane osobowe są przetwarzane przez Administratora. Ponadto, Administrator finalnie zrealizował obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, przekazując jej wszystkie informacje określone ww. przepisami rozporządzenia 2016/679. Jednocześnie udzielenie upomnienia w ocenie Prezesa UODO zapewni także, aby w przyszłości podobne zdarzenia nie miały miejsca. Niemniej jednak, gdyby podobne zdarzenie powtórzyło się w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanek ewentualnego wymierzenia administracyjnej kary pieniężnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.