Naczelny Sąd Administracyjny uchylił korzystny dla Ergo Hestii wyrok WSA i potwierdził stanowisko Prezesa UODO w jednej z kluczowych spraw dotyczących obowiązku powiadamiania osoby o naruszeniu jej danych osobowych. Sprawa dotyczy wysyłki niezaszyfrowanej oferty ubezpieczeniowej — zawierającej m.in. imię, nazwisko i numer PESEL — do niewłaściwego odbiorcy. NSA wskazał, że takie zdarzenie co do zasady powoduje wysokie ryzyko naruszenia praw lub wolności, nawet jeśli obejmuje „tylko jedną osobę” i nawet jeśli szkoda się jeszcze nie zmaterializowała.
Sprawa wraca do ponownego rozpoznania przez WSA, ale w praktyce NSA nadał tej wykładni charakter niemal „instrukcji interpretacyjnej” dla administratorów.
NSA: liczy się nie tylko prawdopodobieństwo, ale także waga potencjalnych skutków
WSA uznał wcześniej, że PUODO nie uzasadnił dostatecznie, dlaczego w tej sprawie należało zawiadomić osobę dotkniętą incydentem (art. 34 RODO). NSA stwierdził inaczej — i jednoznacznie zapisał:
„Połączenie nie małego prawdopodobieństwa z wysoką wagą skutków oznacza wysokie ryzyko — które automatycznie uruchamia obowiązek zawiadomienia osoby.”
To kluczowe, bo NSA koryguje błędną praktykę adminów, którzy oceniali ryzyko niemal wyłącznie przez pryzmat prawdopodobieństwa („przecież odbiorca i tak nic nie zrobi”). Sąd przypomina: ryzyko to funkcja dwóch zmiennych. Wysoka waga możliwych skutków wystarczy.
Przełomowa precyzja NSA w zakresie interpretacji art. 34 RODO
NSA dodatkowo doprecyzował kilka zasad, które będą mieć wpływ na codzienną praktykę DPO / ABI:
- Obowiązek notyfikacji nie jest automatyczny, ale próg „zwalniający” jest wysoki – administrator musi mieć pewność małego ryzyka, nie tylko „brak pewności co do dużego”.
- Nie trzeba czekać na realną szkodę — wystarczy możliwość wystąpienia wysokiego ryzyka.
- Wycieku imienia, nazwiska i numeru PESEL nie wolno bagatelizować — w Polsce to dane umożliwiające zaciągnięcie zobowiązań i podjęcie działań o poważnych konsekwencjach finansowych i tożsamościowych.
- Ocenę ryzyka administrator musi udokumentować w sposób obiektywny: na podstawie wiedzy branżowej, incydentów w sektorze, realiów ekonomicznych, praktyk przestępczych itd.
To doprecyzowanie eliminuje jeden z najczęstszych błędów w organizacjach: pochopne „samo-usprawiedliwienie”, że „było tylko jedno ujawnienie i raczej nic się nie stanie”.
