Czy obowiązek zgłoszenia PUODO incydentu bezpieczeństwa wynika z wysokiego prawdopodobieństwa, iż naruszenie będzie miało negatywny skutek dla osób, których dane wyciekły? Czy jednak raczej chodzi tu o ocenę ryzyka naruszenia, a nie jego konsekwencji? Jeśli to dla kogoś brzmi jak pleonazm: czy należy zgłosić każde przypadkowe ujawnienie numeru PESEL osobie nieupoważnionej? Czy jednak nie można nie dostrzegać, że setki tysięcy takich informacji są łatwo dostępne – i raczej nikomu nic się nie dzieje?
wyrok Naczelnego Sądu Administracyjnego z 1 października 2025 r. (III OSK 1830/22)
Faktem notoryjnym jest, że ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń związanych z podaniem numeru PESEL jest kradzież tożsamości.
opis stanu faktycznego:
- sprawa zaczęła się od błędu pracującego na rzecz spółki ERGO Hestia agenta ubezpieczeniowego, który przypadkowo wysłał polisę do niewłaściwej osoby;
- odbiorca skasował wiadomość (a przynajmniej tak powiedział), jednak agent, znając obowiązki podmiotu przetwarzającego — wszakże w polisie były dane osobowe, w tym imię i nazwisko oraz numer PESEL klienta — poinformował PUODO o incydencie;
- urząd uznał, że ryzyko wynikające z naruszenia jest na tyle znaczne, że ubezpieczyciel miał obowiązek nie tylko wysłać swoje zgłoszenie, ale też zawiadomić zainteresowaną osobę i w wydanej decyzji nałożył na firmę 159 tys. zł kary;
art. 33 ust. 1 RODO
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu […] chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. […]
art. 34 ust. 1 RODO
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
- nieco inny pogląd przedstawił WSA: trudno jest powiedzieć, iżby przypadkowe ujawnienie numeru PESEL powodowało wysokie ryzyko naruszenia praw i wolności — wszakże w przypadku wielu osób te dane są powszechnie dostępne, a jednak nic złego się nie dzieje;
- zaś uchylając decyzję stwierdził, że jeśli PUODO ma inne zdanie, to powinien je prawidłowo uzasadnić, a nie generalizować („Wyciek numeru PESEL nie oznacza poważnego ryzyka dla zainteresowanej osoby”);
skarga kasacyjna:
- w skardze kasacyjnej od tego wyroku PUODO zwrócił uwagę, że ocena wysokiego stopnia ryzyka naruszenia praw i wolności nie może opierać się wyłącznie na tych samych przesłankach, które pozwalają ocenić stopień prawdopodobieństwa owego naruszenia — zaś twierdzenie, iż skutki kradzieży tożsamości mogą być dotkliwe, nie wymaga dowodu;
- (tłumacząc z prawniczego na ludzki: nie chodzi o to, że znajomość tak szczegółowych danych osobowych rzadko wiąże się zaciągnięciem pożyczki na nieświadomego jelenia — chodzi o to, że jak już do tego dojdzie, to konsekwencje wycieku PESEL będą niewąskie);
wyrok NSA:
- chociaż obowiązek zgłoszenia naruszenia ochrony danych osobowych nie ma charakteru bezwzględnego i zależy od dokonanej przez administratora oceny, to przecież taka ocena musi opierać się na obiektywnych kryteriach, np. wiedzy o możliwych konsekwencjach podobnych incydentów;
- trzeba mieć także na uwadze, że brak konieczności poinformowania PUODO o wycieku wynikać musi z niskiego ryzyka naruszenia praw lub wolności osób, a nie niskiego prawdopodobieństwa samego naruszenia, przy czym nie jest istotne, czy owo ryzyko naruszenia się zmaterializowało i czy ktoś został poszkodowany („Czy brak wyrządzenia szkody po wycieku danych osobowych oznacza brak obowiązku zgłoszenia incydentu do PUODO?”);
- stąd też administrator powinien brać pod uwagę każdy możliwy rodzaj szkody lub krzywdy wynikający z naruszenia, m.in. utratę kontroli nad własnymi danymi, szkody wizerunkowe, ryzyka finansowe (np. zaciągnięcia kredytu na cudze dane osobowe), etc.,etc.;
- w ocenie NSA ujawnienie numeru PESEL, wraz z zestawem takich danych jak imię i nazwisko jest zdarzeniem pociągającym za sobą wysokie ryzyko naruszenia praw i wolności — a jednym z najpoważniejszych zagrożeń jest kradzież tożsamości: znajomość takich danych osobowych może ułatwić np. wyłudzenie kredytu, zawarcie umowy telekomunikacyjnej, podszycie się pod konkretną osobę w jej życiu codziennym, etc.,etc.;
- a skoro wynikające ryzyko naruszenia praw i wolności osoby fizycznej jest znaczne — organ słusznie ocenił, iż brak zawiadomienia o incydencie jest sprzeczny z RODO, a więc zasługuje na sankcję pieniężną.
Biorąc pod uwagę taką wykładnię Naczelny Sąd Administracyjny uchylił zaskarżone orzeczenie i zwrócił sprawę do ponownego rozpoznania przez WSA.
Zamiast komentarza: tezy prawidłowe, wykładnia i rozstrzygnięcie — błędne. Owszem, po naruszeniu ochrony danych osobowych administrator musi ważyć ryzyko naruszenia wynikającego z incydentu, ale skoro taka ocena „powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji)” — to nie sposób przecież nie zauważyć, że te setki tysięcy bardzo dokładnych danych rzeczywiście są bardzo łatwo dostępne, a jednak raczej nic nikomu się nie dzieje. Co oznacza, że ryzyko naruszenia wynikające ze znajomości cudzego PESEL jest relatywnie niewielkie — nawet jeśli potencjalne skutki bezprawnego wykorzystania tej wiedzy mogą być dla jednostki bardzo dotkliwe.
Q.E.D.