Czy brak wyrządzenia szkody po wycieku danych osobowych oznacza brak obowiązku zgłoszenia incydentu do PUODO?

przez

A skoro kilka dni temu po raz pierwszy skorzystałem z prawa do uzyskania informacji, czy administrator powiadomił PUODO o zaistniałym naruszeniu ochrony danych osobowych, dziś czas na kilka pytań: czy brak wyrządzenia szkody wskutek wycieku oznacza, że zgłoszenie naruszenia ochrony danych osobowych nie było konieczne? Czy jednak szacowanie ryzyka nie może polegać na ocenie późniejszych skutków? I, wcale nie na marginesie: czy pojęcie „organ administracji specjalnej” oznacza, że jego pracownicy posiadają wiedzę specjalną i nie potrzebują biegłych?

zgłoszenie naruszenia brak szkody
Brak szkody wskutek wycieku danych nie oznacza braku ryzyka, zatem obowiązkiem administratora jest zgłoszenie naruszenia do urzędu

wyrok Naczelnego Sądu Administracyjnego z 20 marca 2025 r. (III OSK 210/22)
1) Nie jest uprawnione zastosowanie dyrektyw wykładni funkcjonalnej do przepisów art. 33 ust. 1 i art. 34 ust. 1 RODO, tj. przepisów określających obowiązki administratorów danych osobowych w zakresie, w którym pełnią oni rolę gwarantów prawa lub wolności osób fizycznych.
2) Zastosowanie dyrektyw funkcji prowadzące do ograniczenia zastosowania takich przepisów prowadziłoby do ograniczenia ochrony praw i wolności obywatelskich, co może nastąpić wyłącznie na podstawie przepisów ustawy (art. 31 ust. 3 Konstytucji RP) interpretowanej z użyciem dyrektyw językowych.

opis stanu faktycznego:

  • sprawa zaczęła się od przypadkowego udostępnienia w internecie filmu z egzaminu przeprowadzanego na Śląskim Uniwersytecie Medycznym; nagranie ukazywało studentów i ich dokumenty tożsamości…
  • …jednak uczelnia zignorowała wyciek (rektor miał powiedzieć, że „incydent oglądania przez 200 osób dowodów osobistych jakichś 100-150 innych osób, to nie jest wyciek danych osobowych”) i nie zgłosiła go Prezesowi Urzędu Ochrony Danych Osobowych oraz nie powiadomiła zainteresowanych, zatem organ nałożył na administratora 25 tys. zł kary za naruszenie RODO;
  • bezskuteczna okazała się skarga uczelni: sąd uznał, że obowiązek poinformowania PUODO powstaje już w momencie zaistnienia naruszenia, niezależnie od tego, czy dotknięci incydentem się poskarżyli i niezależnie od jego skutków (wyrok WSA w Warszawie z 22 września 2021 r., II SA/Wa 791/21);

art. 33 ust. 1 RODO
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

art. 34 ust. 1 RODO
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

skarga kasacyjna:

  • we wniesionej skardze kasacyjnej uczelnia podkreśliła, że skoro po przeprowadzeniu analizy ryzyka zdarzenia okazało się, że treść dokumentów była nieczytelna, to trudno mówić o ujawnieniu danych personalnych, przy czym nie wystarczy sam zarzut, że ktoś mógł użyć jakiegoś oprogramowania do odcyfrowania informacji — trzeba było go jeszcze udowodnić, co wymaga specjalistycznej, a więc jest niemożliwe bez biegłego z zakresu informatyki;
  • zarazem filmik obejrzało tylko 23 zidentyfikowanych studentów i 3 pracowników, którzy — jako „destynatariusze zakładu Śląskiego Uniwersytetu Medycznego w Katowicach” — wiedzą, że wykorzystywanie takiego potknięcia jest nielegalne;
  • co więcej obowiązek zgłoszenia powstaje nie w momencie wystąpienia incydentu — RODO pozwala administratorowi szacować ryzyko naruszenia praw i wolności — zaś analiza okazała się o tyle słuszna, że nie odnotowano żadnych negatywnych skutków (a nawet sposób prowadzenia przez PUODO postępowania był nieco mylący);
  • co w sumie oznacza, że decyzja o nałożeniu kary była nieprawidłowa;

orzeczenie NSA:

  • po pierwsze primo PUODO jest organem administracji specjalnej, dzięki czemu zatrudnia w swych szeregach pracowników i urzędników dysponujących specjalistyczną wiedzą, także w zakresie informatyki, tedy „okoliczności, które dla zwykłego obywatela stanowią zakres wiedzy specjalistycznej” są rozstrzygane wewnątrz urzędu, bez konieczności zamawiania opinii biegłych (por. „O niezależności PUODO rzekomo zagrożonej koniecznością powołania biegłego w postępowaniu”);
  • po drugie primo nie można wiązać obowiązku zgłoszenia naruszenia ochrony danych osobowych z dokonaną post factum oceną, iż wyciek nie spowodował negatywnych skutków: administrator ma 72 godziny na zawiadomienie PUODO i już w tym czasie musi ocenić ryzyko, więc tylko sytuacje „jednoznaczne” pozwalają odstąpić od obowiązku wynikającego z art. 33 ust. 1 RODO;
  • mało tego: wynikająca z RODO administracyjna kara pieniężna nakładana jest nie za wyrządzenie szkody poprzez nieuprawniony dostęp do danych osobowych, lecz za błędną ocenę ryzyka — i brak zgłoszenia incydentu.

Stwierdzając, iż wykładnia przedstawiona przez Śląski Uniwersytet Medyczny prowadziłaby do ograniczenia konstytucyjnego prawa do prywatności — a przecież każda ingerencja w kardynalne prawa człowieka musi wynikać z ustawy, a nie interpretacji — NSA oddalił skargę kasacyjną.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

9 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
9
0
komentarze są tam :-)x