Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdził, że administrator danych osobowych musi zawiadomić osobę o naruszeniu, jeśli zachodzi wysokie ryzyko dla jej praw lub wolności. Decyzja dotyczy sprawy sopockiego ubezpieczyciela Ergo Hestia SA, który za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej otrzymał karę w wysokości 159 176 zł.
Naczelny Sąd Administracyjny (NSA) rozpatrzył skargę kasacyjną Prezesa UODO dotyczącą decyzji o nałożeniu kary na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA. Kara w wysokości 159 176 zł została wymierzona za niezgłoszenie naruszenia ochrony danych oraz niepowiadomienie osoby, której dane objęły incydent.
Naruszenie polegało na wysłaniu e-maila z niezaszyfrowanym załącznikiem zawierającym dane osobowe i informacje finansowe do niewłaściwego adresata.
WSA w Warszawie uchylił decyzję UODO, uznając, że naruszenie obejmowało tylko jedną osobę i nie powodowało wysokiego ryzyka dla jej praw i wolności. Jednak NSA nie podzielił tego stanowiska, nakazując ponowne rozpatrzenie sprawy przez WSA.
W opinii NSA kluczowym kryterium przy ocenie obowiązku notyfikacji nie jest wyłącznie prawdopodobieństwo naruszenia praw osoby, ale także waga potencjalnych skutków dla niej.
Sąd przyjął, że jeśli prawdopodobieństwo naruszenia praw lub wolności nie jest małe, a możliwe skutki są poważne, to oznacza to wystąpienie wysokiego ryzyka, które zobowiązuje administratora do poinformowania osoby o naruszeniu.
Co istotne, NSA wskazał, że nie trzeba wykazać, iż faktycznie doszło do szkody – wystarczy samo pojawienie się wysokiego ryzyka jej wystąpienia.
NSA przypomniał, że obowiązek zgłoszenia naruszenia do Prezesa UODO oraz powiadomienia osoby, której dane dotyczą, wynika z art. 33 i art. 34 RODO.
Zgłoszenie nie jest wymagane wyłącznie wtedy, gdy administrator wykaże małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osoby fizycznej.
W praktyce oznacza to konieczność przeprowadzenia obiektywnej analizy ryzyka, która powinna uwzględniać:
zakres ujawnionych danych,
dotychczasowe doświadczenie administratora,
skutki ujawnienia danych (np. kradzież tożsamości lub utrata kontroli nad danymi).
NSA jednoznacznie orzekł, że ujawnienie danych obejmujących PESEL oraz imię i nazwisko już samo w sobie generuje wysokie ryzyko naruszenia praw osoby fizycznej.
Wyrok NSA ma istotne znaczenie dla praktyków RODO, ponieważ potwierdza szeroką interpretację pojęcia wysokiego ryzyka.
Administratorzy powinni przyjąć, że samo ujawnienie danych o charakterze identyfikacyjnym (takich jak imię, nazwisko, PESEL) co do zasady wymaga zawiadomienia osoby o naruszeniu, nawet gdy incydent obejmuje niewielką liczbę osób.
NSA potwierdził również, że obowiązki wynikające z RODO mają charakter prewencyjny – ich celem jest ochrona przed potencjalnymi skutkami, a nie tylko reakcja na faktyczne szkody.
Przeczytaj także:
UODO, III OSK 1830/22, DKN.5131.3.2021
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
