Prezes Urzędu Ochrony Danych Osobowych ponownie przypomina administratorom danych, że pojęcie „mało prawdopodobnego ryzyka” należy interpretować niezwykle wąsko. Najnowsza decyzja organu pokazuje, że nawet pozornie „błaha” pomyłka, która na pierwszy rzut oka nie wydaje się groźna, może prowadzić do poważnych konsekwencji dla osób, których dane dotyczą.
Prezes UODO Mirosław Wróblewski nałożył prawie 21 tys. zł kary na komornika sądowego, który wysłał pismo o zajęciu wynagrodzenia do niewłaściwego adresata i nie zgłosił tego incydentu ani organowi nadzorczemu, ani osobie, której dane ujawniono. Dodatkowo nakazał natychmiastowe powiadomienie właściwego dłużnika o naruszeniu.
Pomyłka w kancelarii komorniczej – ujawnione dane wrażliwe finansowo
W przesyłce znalazły się dane szczególnie narażone na nadużycia: imię i nazwisko, numer PESEL, adres oraz kwota zajęcia komorniczego. O błędzie jako pierwsza poinformowała osoba, która otrzymała cudzą korespondencję. Zgłosiła sprawę zarówno komornikowi, jak i UODO, obawiając się, że jej własne dokumenty mogły trafić do niewłaściwego odbiorcy.
Komornik jednak nie podjął wymaganych działań – ani nie powiadomił organu nadzorczego, ani osoby, której dane zostały ujawnione. W ocenie administratora incydent był jednostkowy, odbiorca zachował się „odpowiedzialnie”, a więc ryzyko negatywnych konsekwencji było – zdaniem komornika – „mało prawdopodobne”.
UODO: nie można pominąć analizy ryzyka
Postępowanie wykazało, że komornik w ogóle nie przeprowadził analizy ryzyka, choć to ona powinna stanowić podstawę decyzji o zgłaszaniu naruszenia. Prezes UODO podkreślił, że samo przekonanie administratora nie może zastąpić rzetelnej oceny.
Zgodnie z decyzją z 23 października 2025 r., aby uznać ryzyko za „mało prawdopodobne”, administrator musi wykazać, że skutek naruszenia nie powinien się zmaterializować w ogóle. W angielskiej wersji RODO użyto terminu unlikely, co – jak wskazuje regulator – oznacza stan graniczący z niemożliwością, a nie tylko ograniczone prawdopodobieństwo.
Dlaczego w tym przypadku ryzyko było realne?
UODO zwrócił uwagę m.in. na:
- rosnącą skalę wyłudzeń kredytów na cudze dane – tylko w IV kwartale 2024 r. odnotowano 2661 takich prób na kwotę 80 mln zł,
- ponad 12 tys. prób wyłudzeń w całym 2024 r. i podobną liczbę rok wcześniej,
- realne ryzyko wykorzystania numeru PESEL i danych adresowych do przestępstw finansowych.
Organ wskazał także, że ryzyko należy oceniać z perspektywy osoby, której dane wyciekły – nie administratora, który musi dochować staranności.
W tym przypadku prawidłowo przeprowadzona analiza powinna doprowadzić do wniosku o wysokim ryzyku naruszenia praw lub wolności, co obliguje:
- do zgłoszenia incydentu Prezesowi UODO (art. 33 RODO),
- do powiadomienia osoby, której dane wyciekły (art. 34 RODO).
Wytyczne EROD: zgłoszenie jest obowiązkiem, wyjątek dotyczy tylko sytuacji skrajnych
Prezes UODO przypomniał również, że pomocne w interpretacji są Wytyczne Europejskiej Rady Ochrony Danych 9/2022. Wynika z nich jednoznacznie, że zgłoszenia można zaniechać jedynie wtedy, gdy nie istnieją realne szanse na wystąpienie negatywnych skutków dla osoby fizycznej.
Jest to więc sytuacja wyjątkowa – nie działa tu zasada „niska szkodliwość czynu”, lecz praktycznie „brak ryzyka”.
Dlaczego zgłaszanie naruszeń jest kluczowe?
UODO podkreśla, że zgłaszanie incydentów:
- umożliwia organowi ocenę, czy administrator właściwie zarządzał ryzykiem,
- pozwala osobie poszkodowanej podjąć działania ochronne (np. monitoring BIK, zastrzeżenie dokumentów, zmiana haseł),
- wpływa na poprawę poziomu bezpieczeństwa przetwarzania danych w podmiotach publicznych i prywatnych.
Regulator zaznacza także, że osoby, których dotyczy naruszenie, nie zawsze są świadome zagrożeń – dlatego rzetelna informacja od administratora jest niezbędna.
Wniosek: „mało prawdopodobne ryzyko” to nie wygodne usprawiedliwienie
Decyzja UODO wyraźnie pokazuje, że:
- administrator musi przeprowadzić ocenę ryzyka przed podjęciem decyzji o niezgłaszaniu naruszenia,
- interpretacja „małego prawdopodobieństwa” musi być zgodna z praktyką EROD,
- każde ujawnienie PESEL i danych finansowych to potencjalnie poważne naruszenie,
- brak analizy i brak zgłoszenia mogą skutkować sankcją finansową.
Komornik otrzymał karę łącznie 20 900 zł oraz obowiązek natychmiastowego powiadomienia osoby dotkniętej naruszeniem.





