Kiedy, przy naruszeniu, należy zawiadamiać osoby, których dane dotyczą? Ważny wyrok NSA

Naczelny Sąd Administracyjny potwierdził zarzuty Prezesa UODO do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką Prezes UODO nałożył na sopockie Towarzystwo Ubezpieczeniowe Ergo Hestia SA za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej. Sprawa trafi więc ponownie do rozpatrzenia przez WSA. Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.

Wojewódzki Sąd Administracyjny, po skardze ubezpieczyciela, uchylił decyzję Prezesa UODO. NSA jednak nakazał WSA ponownie rozpatrzyć sprawę i wskazał czym ma się kierować.

Przypomnijmy, że WSA uznał, że naruszenie dotyczyło tylko jednej osoby, dane osobowe zostały udostępnione tylko jednej osobie. Przy czym charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby. Dlatego w ocenie WSA sprawa ta wymagała zgłoszenia do Prezesa UODO (art. 33 ust. 1 RODO).

WSA stwierdził też, że PUODO nie wyjaśnił dostatecznie w uzasadnieniu decyzji dlaczego przyjął, że spółka naruszyła art. 34 ust.1 RODO (bo naruszenie ochrony danych osobowych mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych). Zdaniem WSA Prezes UODO nie wykazał przekonująco, że w praktyce możliwe są zdarzenia mogące powodować doniosłe negatywne konsekwencji dla osób, których dane dotyczą. Prezes UODO wskazał na możliwość  legalnego zaciągania zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko, numer PESEL oraz miejscowość i kod pocztowy, oraz że pozwala to na uzyskanie dostępu do systemów obsługujących udzielanie świadczeń medycznych i na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem.

Prezes UODO wniósł skargę kasacyjną na ten wyrok. Prezes UODO zarzucił WSA błędną wykładnię przepisu art. 34 rozporządzenia, polegającą na pominięciu, że czynnikiem, który należy brać pod uwagę, przy analizie ryzyka jest również waga/skutek dla osób fizycznych, a nie tylko prawdopodobieństwo.

NSA stwierdził, że skarga ta zasługuje na uwzględnienie. W orzeczeniu NSA można przeczytać, że „ustalenie, że prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej nie jest małe w połączeniu ze wskazaną wyżej wysoką wagą potencjalnego wpływu naruszenia na prawa lub wolności osoby fizycznej przesądza o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności tej osoby, co nakłada na administratora obowiązek zawiadomienia osoby, której dane dotyczą, o tymże naruszeniu”.

Zdaniem Naczelnego Sądu Administracyjnego w istocie kwestią sporną jest tu to, czy naruszenie poufności danych, jakie niewątpliwie miało miejsce, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie zgodził się też z sądem niższej instancji, że PUODO nie wystarczająco uzasadnił swoją decyzję, czym miał naruszyć art. 107 § 3 k.p.a.

NSA wskazał też, jak należy interpretować obowiązek notyfikacji naruszenia wskazany w RODO (art. 34 ust. 1 w związku z art. 33 ust. 1):

• Pomimo zaistnienia naruszenia ochrony danych osobowych administrator nie musi dokonywać zgłoszenia, jeżeli jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Prawa i wolności należy rozumieć podobnie jak na gruncie przepisu art. 6 ust. 1 lit. f RODO. W konsekwencji obowiązek notyfikacyjny nie ma charakteru bezwzględnego.
• Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych.
• Żeby nie trzeba było zgłaszać naruszenia do PUODO, musimy mówić o małym prawdopodobieństwie, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności.
• Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. Wystarczy samo pojawienie się wysokiego ryzyka naruszenia.

W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych. Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych.

W ocenie Naczelnego Sądu Administracyjnego nie może być wątpliwości, że zdarzenie, które miało miejsce w niniejszej sprawie, może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, przez sam fakt, iż dotyczy danych osobowych w postaci PESEL w powiązaniu z imieniem i nazwiskiem oraz innymi danymi osobowymi. Nawet pomijając inne dane osobowe, ryzyko naruszenia praw osoby fizycznej - wbrew twierdzeniu WSA - jest wysokie. Wiadomo bowiem, że ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń związanych z podaniem numeru PESEL jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany w szczególności do zaciągnięcia kredytu lub pożyczki na cudze dane, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę fizyczną w sprawach dotyczących życia codziennego.

III OSK 1830/22, DKN.5131.3.2021