Prezes UODO nałożył niemal 21 tys. zł kary na komornika sądowego za niezgłoszenie naruszenia ochrony danych osobowych oraz brak powiadomienia osoby, której dane dotyczyły. Sprawa pokazuje, jak istotna jest prawidłowa analiza ryzyka i właściwa interpretacja pojęcia „mało prawdopodobne ryzyko” w kontekście obowiązków z art. 33 i 34 RODO.
Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył na komornika sądowego karę w wysokości prawie 21 tys. zł – 7700 zł za niezgłoszenie naruszenia danych osobowych bez zbędnej zwłoki oraz 13 200 zł za brak powiadomienia osoby, której dane dotyczyły. Dodatkowo Prezes UODO nakazał natychmiastowe poinformowanie tej osoby o incydencie.
Do naruszenia doszło w wyniku pomyłki – pismo o zajęciu wynagrodzenia trafiło do niewłaściwego adresata. Zawierało ono dane osobowe takie jak imię, nazwisko, numer PESEL, adres zamieszkania i kwotę zajęcia komorniczego.
Komornik uznał, że naruszenie nie wymaga zgłoszenia, ponieważ ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, było jego zdaniem „mało prawdopodobne”. Jak wynika z decyzji UODO z 23 października 2025 r., taka ocena była błędna, ponieważ w kancelarii nie przeprowadzono analizy ryzyka.
Prezes UODO podkreślił, że pojęcie „mało prawdopodobne ryzyko” należy rozumieć w sposób tożsamy z angielskim terminem unlikely, który oznacza sytuację niemal niemożliwą do wystąpienia. Samo przekonanie administratora o „niskim ryzyku” bez analizy nie stanowi wystarczającego uzasadnienia dla braku zawiadomienia organu i osoby, której dane dotyczą.
Według Prezesa UODO, administrator ma obowiązek każdorazowo przeprowadzić analizę ryzyka, łącząc dwa czynniki: prawdopodobieństwo wystąpienia negatywnych skutków oraz ich wagę. Nawet jednostkowy incydent – taki jak błędne wysłanie korespondencji zawierającej PESEL – może oznaczać wysokie ryzyko naruszenia praw lub wolności osoby fizycznej.
Przeczyta również:
Przykładem rzeczywistego zagrożenia są dane z raportu infoDOK ZBP, zgodnie z którym w 2024 r. doszło do ponad 12 tys. prób wyłudzeń kredytów na łączną kwotę ponad 324 mln zł. Takie statystyki potwierdzają, że nieuprawnione ujawnienie danych, szczególnie numeru PESEL, może mieć poważne konsekwencje.
Zgodnie z art. 33 i 34 RODO administrator ma obowiązek zgłoszenia naruszenia organowi nadzorczemu, a w razie wysokiego ryzyka – także poinformowania osoby, której dane dotyczą. Wyjątek dotyczy jedynie sytuacji, w których naruszenie najprawdopodobniej nie wiąże się z ryzykiem dla praw i wolności osób fizycznych.
Jak przypomina UODO, obowiązki te służą nie tylko przejrzystości działań administratora, ale także realnej ochronie osób, których dane dotyczyły incydentu. Dzięki powiadomieniu mogą one samodzielnie podjąć środki zaradcze – np. zastrzec dokumenty, monitorować BIK lub zareagować na podejrzane próby kredytowe.
UODO podkreśla, że analiza ryzyka powinna być prowadzona z punktu widzenia osoby, której dane zostały ujawnione, a nie interesu administratora. Właściwa komunikacja po incydencie może pomóc osobie narażonej na naruszenie w podjęciu kroków ochronnych.
Rzetelne zawiadomienie o naruszeniu stanowi element faktycznej ochrony danych osobowych, a jego brak – jak w przypadku ukaranego komornika – może skutkować sankcją finansową.
Przeczyta również:
Zgłoszenie naruszenia bezpieczeństwa danych osobowych
Czy IOD może przyjmować zgłoszenia o naruszeniu ochrony danych osobowych?
Naruszenie ochrony danych osobowych - jak zminimalizować ryzyko błędu pracownika
UODO, DKN.5131.17.2024
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
