Czy wyciek numeru PESEL stanowi wysokie ryzyko naruszenia praw lub wolności tej osoby?

Czy ujawnienie numeru PESEL niepowołanemu odbiorcy stanowi wysokie ryzyko naruszenia praw lub wolności osoby? Czy owo zagrożenie można mierzyć tym, że taka cudze dane osobowe mogą być wykorzystane do zaciągnięcia pożyczki? A jeśli tak: czy potwierdzeniem tej oceny jest fakt, że jakiś oszust kiedyś próbował wziąć kredyt na wycieknięte dane osobowe? Czy jednak PUODO, nakładając karę, powinien — jak zawsze — okoliczność tę udowodnić? (nieprawomocny wyrok WSA w Warszawie z 18 czerwca 2024 r., II SA/Wa 219/24).


Plomin elektrownia
Elektrownia Plomin, ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

Orzeczenie jest kolejnym głosem w dyskusji nad oceną ryzyka wynikającego z ujawnienia numeru PESEL niepowołanemu odbiorcy — a dokładnie próbą poszukania odpowiedzi na pytanie: czy rzeczywiście taka informacja może posłużyć do wzięcia kredytu na cudze dane?

opis stanu faktycznego:

  • sprawa zaczęła się od decyzji, w której Prezes Urzędu Ochrony Danych Osobowych stwierdził, iż omyłkowe przesłanie podpisanej umowy zawierającej dane klientki (m.in. imię i nazwisko oraz numer PESEL) do nieuprawnionego odbiorcy stanowiło naruszenie poufności danych osobowych;
  • a ponieważ administrator nie powiadomił o naruszeniu PUODO i nie zawiadomił zainteresowanej klientki — nałożył na spółkę administracyjną karę pieniężną w wysokości 282,9 tys. zł;
  • (pozostawione w uzasadnieniu okruszki pozwoliły ustalić, że ukaranym administratorem była spółka ENEA S.A., zaś podwykonawcą, który się pomylił, spółka zależna ENEA Centrum sp. z o.o.; decyzja DKN.5131.6.2023 z 30 listopada 2023 r.; ciekawe, że o sprawie PUODO został zawiadomiony przez sąd, który prowadził sprawę cywilną z powództwa klientki);

art. 33 ust. 1 RODO
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. […]

art. 34 ust. 1 RODO
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

  • w uzasadnieniu decyzji organ stwierdził, że nie ma znaczenia, że „uczciwy znalazca” oświadczył (ustnie, w nagraniu), że zna i rozumie zasady ochrony danych, ich nie skopiował i nie udostępnił nikomu więcej — bo nie można go traktować jako zaufanego odbiorcy w rozumieniu wytycznych EROD 9/2022, a więc brak gwarancji, że pozyskane w ten sposób dane nie zostaną wykorzystane;
  • zdaniem PUODO sytuacja była szczególnie ryzykowna, ponieważ wśród wyciekniętych danych był PESEL, który jest ściśle powiązany ze sferą prywatności, zaś wraz z imieniem i nazwiskiem może posłużyć do podszycia się pod człowieka, np. wzięcia pożyczki na cudze dane;
  • przy czym ENEA nie może mówić, że w sumie nic się nie stało, bo skoro klientka zdecydowała się wystąpić z powództwem cywilnym, to jej zdanie się stało, nawet jeśli żadna szkoda się jeszcze nie zmaterializowała — a w dodatku urzędowi znana jest sprawa karna o wyłudzenie pożyczki na cudzy numer PESEL;

skarga na decyzję PUODO:

  • w skardze na niekorzystną decyzję spółka podkreśliła, że oświadczenie przypadkowego odbiorcy jest dowodem w sprawie, a więc powinno być przez organ zweryfikowane, a nie arbitralnie uznane za niewiarygodne;
  • zaś fakt, że klientka wystąpiła z roszczeniami nie oznacza, że dokonana przez administratora ocena ryzyka nie uwzględnia jej sytuacji — a dopóki proces się nie zakończy, dopóty trudno powiedzieć czy jakakolwiek szkoda została wyrządzona;
  • co więcej organ nie wyjaśnił w sposób precyzyjny dlaczego uważa, że ujawnienie numeru PESEL grozi zaciągnięciem zobowiązania — bo jeśli tak, to w jeszcze większym kłopocie są osoby, których dane są upublicznione w Krajowym Rejestrze Sądowym;

orzeczenie WSA:

  • nie da się ukryć, że skoro ENEA utraciła kontrolę nad przetwarzanymi danymi klientki, a nieuprawniony odbiorca uzyskał do nich dostęp, to doszło do naruszenia poufności danych osobowych;
  • istotnym kryterium dla oceny prawdopodobieństwa ryzyka naruszenia praw lub wolności osoby, której dane wyciekły, jest łatwość identyfikacji konkretnego człowieka lub dopasowania danych do innych informacji dotyczących konkretnej osoby — a nie da się ukryć, że imię, nazwisko i PESEL są takim zestawem danych;
  • prawdą też jest, że przypadkowy klient nie może być uznany za zaufanego odbiorcę tylko przez to, że także jest klientem firmy i oświadczył, że nie uczyni z danych nielegalnego użytku;
  • w sporze o zastosowanie art. 33 ust. 1 RODO nie jest także istotne, iż nie doszło do wyrządzenia szkody: nałożony na administratora obowiązek wynika z samego ryzyka zaistnienia negatywnych konsekwencji — przeto spółka powinna była zgłosić incydent do PUODO;
  • jednakże zdaniem Wojewódzkiego Sądu Administracyjnego PUODO nie wyjaśnił przekonująco dlaczego uważa, że „w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy”;
  • w uzasadnieniu decyzji powołano się bowiem na jednostkowy wyrok dotyczący usiłowania zaciągnięcia pożyczki na skradzione dane osobowe, aczkolwiek obejmowały one także numer (nieważnego) dowodu osobistego — ergo takie gołosłowne stwierdzenie nie potwierdza, iż możliwe jest wyłudzenie pożyczki na numer PESEL oraz imię i nazwisko (por. „Wyciek numeru PESEL nie oznacza poważnego ryzyka dla zainteresowanej osoby”).

Stwierdzając, iż niejasne uzasadnienie decyzji sprawia, że trudno prawidłowo ocenić przesłanki nałożenia na spółkę` administracyjnej kary pieniężnej za naruszenie obowiązku wynikającego z art. 34 ust. 1 RODO, WSA uchylił zaskarżoną decyzję (a po przegranej PUODO płaci 13,6 tys. zł zwrotu kosztów).

Zamiast komentarza: czy ujawnienie PESEL pociąga za sobą wysokie ryzyko naruszenia praw lub wolności zainteresowanej osoby? Po raz n-ty: nie, a jeśli tak, to czas wyłączyć KRS — aczkolwiek najlepiej by było, gdyby urząd wreszcie skończył z tą „peselozą”.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

40 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
40
0
komentarze są tam :-)x