Komornik ukarany 20 900 zł za niezgłoszenie wycieku danych dłużnika

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Zaczęło się niewinnie – od listu, który trafił nie tam, gdzie trzeba. Jednak to, co komornik uznał za drobny błąd, UODO potraktował jako poważne naruszenie. Sprawa kończy się karą i ważnym przesłaniem: w ochronie danych szczegóły naprawdę mają znaczenie.

Prezes Urzędu Ochrony Danych Osobowych ponownie przypomina administratorom danych, że pojęcie „mało prawdopodobnego ryzyka” należy interpretować niezwykle wąsko. Najnowsza decyzja organu pokazuje, że nawet pozornie „błaha” pomyłka, która na pierwszy rzut oka nie wydaje się groźna, może prowadzić do poważnych konsekwencji dla osób, których dane dotyczą.

Prezes UODO Mirosław Wróblewski nałożył prawie 21 tys. zł kary na komornika sądowego, który wysłał pismo o zajęciu wynagrodzenia do niewłaściwego adresata i nie zgłosił tego incydentu ani organowi nadzorczemu, ani osobie, której dane ujawniono. Dodatkowo nakazał natychmiastowe powiadomienie właściwego dłużnika o naruszeniu.

Pomyłka w kancelarii komorniczej – ujawnione dane wrażliwe finansowo

W przesyłce znalazły się dane szczególnie narażone na nadużycia: imię i nazwisko, numer PESEL, adres oraz kwota zajęcia komorniczego. O błędzie jako pierwsza poinformowała osoba, która otrzymała cudzą korespondencję. Zgłosiła sprawę zarówno komornikowi, jak i UODO, obawiając się, że jej własne dokumenty mogły trafić do niewłaściwego odbiorcy.

Komornik jednak nie podjął wymaganych działań – ani nie powiadomił organu nadzorczego, ani osoby, której dane zostały ujawnione. W ocenie administratora incydent był jednostkowy, odbiorca zachował się „odpowiedzialnie”, a więc ryzyko negatywnych konsekwencji było – zdaniem komornika – „mało prawdopodobne”.

UODO: nie można pominąć analizy ryzyka

Postępowanie wykazało, że komornik w ogóle nie przeprowadził analizy ryzyka, choć to ona powinna stanowić podstawę decyzji o zgłaszaniu naruszenia. Prezes UODO podkreślił, że samo przekonanie administratora nie może zastąpić rzetelnej oceny.

Zgodnie z decyzją z 23 października 2025 r., aby uznać ryzyko za „mało prawdopodobne”, administrator musi wykazać, że skutek naruszenia nie powinien się zmaterializować w ogóle. W angielskiej wersji RODO użyto terminu unlikely, co – jak wskazuje regulator – oznacza stan graniczący z niemożliwością, a nie tylko ograniczone prawdopodobieństwo.

Dlaczego w tym przypadku ryzyko było realne?

UODO zwrócił uwagę m.in. na:

  • rosnącą skalę wyłudzeń kredytów na cudze dane – tylko w IV kwartale 2024 r. odnotowano 2661 takich prób na kwotę 80 mln zł,
  • ponad 12 tys. prób wyłudzeń w całym 2024 r. i podobną liczbę rok wcześniej,
  • realne ryzyko wykorzystania numeru PESEL i danych adresowych do przestępstw finansowych.

Organ wskazał także, że ryzyko należy oceniać z perspektywy osoby, której dane wyciekły – nie administratora, który musi dochować staranności.

W tym przypadku prawidłowo przeprowadzona analiza powinna doprowadzić do wniosku o wysokim ryzyku naruszenia praw lub wolności, co obliguje:

  • do zgłoszenia incydentu Prezesowi UODO (art. 33 RODO),
  • do powiadomienia osoby, której dane wyciekły (art. 34 RODO).

Wytyczne EROD: zgłoszenie jest obowiązkiem, wyjątek dotyczy tylko sytuacji skrajnych

Prezes UODO przypomniał również, że pomocne w interpretacji są Wytyczne Europejskiej Rady Ochrony Danych 9/2022. Wynika z nich jednoznacznie, że zgłoszenia można zaniechać jedynie wtedy, gdy nie istnieją realne szanse na wystąpienie negatywnych skutków dla osoby fizycznej.

Jest to więc sytuacja wyjątkowa – nie działa tu zasada „niska szkodliwość czynu”, lecz praktycznie „brak ryzyka”.

Dlaczego zgłaszanie naruszeń jest kluczowe?

UODO podkreśla, że zgłaszanie incydentów:

  • umożliwia organowi ocenę, czy administrator właściwie zarządzał ryzykiem,
  • pozwala osobie poszkodowanej podjąć działania ochronne (np. monitoring BIK, zastrzeżenie dokumentów, zmiana haseł),
  • wpływa na poprawę poziomu bezpieczeństwa przetwarzania danych w podmiotach publicznych i prywatnych.

Regulator zaznacza także, że osoby, których dotyczy naruszenie, nie zawsze są świadome zagrożeń – dlatego rzetelna informacja od administratora jest niezbędna.

Wniosek: „mało prawdopodobne ryzyko” to nie wygodne usprawiedliwienie

Decyzja UODO wyraźnie pokazuje, że:

  • administrator musi przeprowadzić ocenę ryzyka przed podjęciem decyzji o niezgłaszaniu naruszenia,
  • interpretacja „małego prawdopodobieństwa” musi być zgodna z praktyką EROD,
  • każde ujawnienie PESEL i danych finansowych to potencjalnie poważne naruszenie,
  • brak analizy i brak zgłoszenia mogą skutkować sankcją finansową.

Komornik otrzymał karę łącznie 20 900 zł oraz obowiązek natychmiastowego powiadomienia osoby dotkniętej naruszeniem.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Rozliczenia po nieważności umowy kredytowej. TSUE wskazuje zasady przedawnienia

Bieg terminu przedawnienia roszczenia banku o zwrot kapitału...

Lex deweloper wygasa, ale rozpoczęte postępowania będą mogły być dokończone

Przepisy przejściowe dotyczące specustawy mieszkaniowej umożliwiają dokończenie rozpoczętych postępowań. W...

UOKiK bada Receptomat. Skargi dotyczyły braku kontaktu z lekarzem i zwrotów opłat

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowanie przeciwko...
Wiadomości

Rozliczenia po nieważności umowy kredytowej. TSUE wskazuje zasady przedawnienia

Bieg terminu przedawnienia roszczenia banku o zwrot kapitału...

Lex deweloper wygasa, ale rozpoczęte postępowania będą mogły być dokończone

Przepisy przejściowe dotyczące specustawy mieszkaniowej umożliwiają dokończenie rozpoczętych postępowań. W...

UOKiK bada Receptomat. Skargi dotyczyły braku kontaktu z lekarzem i zwrotów opłat

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowanie przeciwko...

UODO chce prawa do bycia zapomnianym dla pacjentów onkologicznych także w bankach i ubezpieczeniach

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski zwrócił się...

Prezes UODO zapowiada kontrolę w Szpitalu Południowym w Warszawie

Prezes Urzędu Ochrony Danych Osobowych przeprowadzi kontrolę w Szpitalu...

Rzecznik MŚP apeluje o abolicję kar w systemie SENT dla branży odzieżowej

Agnieszka Majewska, Rzecznik Małych i Średnich Przedsiębiorców pozytywnie ocenia...

PKP chce uwolnić potencjał terenów kolejowych. Prawo warstwowe ma zmienić polskie miasta

22 czerwca br. spółka Polskie Koleje Państwowe zorganizowała spotkanie...

WhatsApp zamiast firmowego systemu. UODO ukarał partnera Energa-Obrót

Przedstawiciele handlowi korzystali z WhatsAppa do przesyłania dokumentów klientów...
Coś dla Ciebie

Wybrane kategorie