Kiedy trzeba zawiadomić osobę o naruszeniu danych? Ważny precedens NSA wobec art. 33–34 RODO

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Naczelny Sąd Administracyjny uchylił korzystny dla Ergo Hestii wyrok WSA i potwierdził stanowisko Prezesa UODO w jednej z kluczowych spraw dotyczących obowiązku powiadamiania osoby o naruszeniu jej danych osobowych. Sprawa dotyczy wysyłki niezaszyfrowanej oferty ubezpieczeniowej — zawierającej m.in. imię, nazwisko i numer PESEL — do niewłaściwego odbiorcy. NSA wskazał, że takie zdarzenie co do zasady powoduje wysokie ryzyko naruszenia praw lub wolności, nawet jeśli obejmuje „tylko jedną osobę” i nawet jeśli szkoda się jeszcze nie zmaterializowała.

Sprawa wraca do ponownego rozpoznania przez WSA, ale w praktyce NSA nadał tej wykładni charakter niemal „instrukcji interpretacyjnej” dla administratorów.

NSA: liczy się nie tylko prawdopodobieństwo, ale także waga potencjalnych skutków

WSA uznał wcześniej, że PUODO nie uzasadnił dostatecznie, dlaczego w tej sprawie należało zawiadomić osobę dotkniętą incydentem (art. 34 RODO). NSA stwierdził inaczej — i jednoznacznie zapisał:

„Połączenie nie małego prawdopodobieństwa z wysoką wagą skutków oznacza wysokie ryzyko — które automatycznie uruchamia obowiązek zawiadomienia osoby.”

To kluczowe, bo NSA koryguje błędną praktykę adminów, którzy oceniali ryzyko niemal wyłącznie przez pryzmat prawdopodobieństwa („przecież odbiorca i tak nic nie zrobi”). Sąd przypomina: ryzyko to funkcja dwóch zmiennych. Wysoka waga możliwych skutków wystarczy.

Przełomowa precyzja NSA w zakresie interpretacji art. 34 RODO

NSA dodatkowo doprecyzował kilka zasad, które będą mieć wpływ na codzienną praktykę DPO / ABI:

  • Obowiązek notyfikacji nie jest automatyczny, ale próg „zwalniający” jest wysoki – administrator musi mieć pewność małego ryzyka, nie tylko „brak pewności co do dużego”.
  • Nie trzeba czekać na realną szkodę — wystarczy możliwość wystąpienia wysokiego ryzyka.
  • Wycieku imienia, nazwiska i numeru PESEL nie wolno bagatelizować — w Polsce to dane umożliwiające zaciągnięcie zobowiązań i podjęcie działań o poważnych konsekwencjach finansowych i tożsamościowych.
  • Ocenę ryzyka administrator musi udokumentować w sposób obiektywny: na podstawie wiedzy branżowej, incydentów w sektorze, realiów ekonomicznych, praktyk przestępczych itd.

To doprecyzowanie eliminuje jeden z najczęstszych błędów w organizacjach: pochopne „samo-usprawiedliwienie”, że „było tylko jedno ujawnienie i raczej nic się nie stanie”.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

AI i prawo autorskie w firmie. Na co muszą uważać przedsiębiorcy?

Prawo autorskie przez lata kojarzyło się głównie z książkami,...

Większość polskich patentów nie jest komercjalizowana. Tylko co czwarty trafia na rynek

Jakie są losy wynalazków po uzyskaniu ochrony patentowej? Które...

Proces wygrany, reputacja przegrana? Jak przedsiębiorca powinien reagować na krytykę influencera

Spór wokół działalności internetowego twórcy Książulo oraz kolejne publiczne...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce zmian w Policji. Chodzi o odciski palców i profile DNA funkcjonariuszy

Prezes Urzędu Ochrony Danych Osobowych domaga się zmiany przepisów...

Reforma ROP do poprawy. Projekt UC100 może naruszać prawo UE

Projekt ustawy o opakowaniach i odpadach opakowaniowych (UC100) wymaga...

Nowa definicja mobbingu – czy pracodawcy rzeczywiście mają się czego obawiać?

Senat przyjął bez poprawek ustawę zmieniającą przepisy Kodeksu pracy...

Wojanki i Palionki pod lupą UOKiK. Zarzuty dla youtuberów

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowania przeciwko...
Coś dla Ciebie

Wybrane kategorie