Aktualności Newsletter 28/10/2025

Kiedy powiadomić osobę o naruszeniu jej danych osobowych? Wnioski dla administratorów po wyroku NSA

Prawidłowa reakcja na naruszenia ochrony danych to obowiązekkażdego administratora. NSA w niedawnym wyroku[1] stwierdził, że w przypadku naruszenia danych identyfikacyjnych, takich jak imię, nazwisko i PESEL, obowiązkowe jest zgłoszenie do organu nadzorczego i zawiadomienie osoby o naruszeniu jej danych. Jakie skutki wyrok niesie dla administratorów?

Tło sprawy – kara Prezesa UODO

Naruszenie ochrony danych dotyczyło korespondencji (analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczeniowej), którą wysłano drogą elektroniczną. Zawierała ona dane osobowe (m.in. imię, nazwisko oraz numer PESEL) osoby niebędącej adresatem – wskutek wpisania błędnego adresu e-mail odbiorcy.

Administrator nie zgłosił naruszenia do Prezesa UODO ani nie zawiadomił osoby, której dane dotyczyły, o naruszeniu ochrony danych (oceniając ryzyko jako niskie). W konsekwencji, Prezes UODO zdecydował się nałożyć karę na administratora. Dlaczego?

Zdaniem Prezesa UODO, zakres ujawnionych danych umożliwiał łatwą identyfikację osoby, której one dotyczyły, co mogło prowadzić do negatywnych skutków. Mowa np. o zaciągnięciu zobowiązania w jej imieniu lub nieuprawnionym dostępie do systemów obsługujących udzielanie świadczeń medycznych (w tym dostępu do dokumentacji medycznej). W konsekwencji administrator naruszył obowiązki nałożone na niego przez RODO.

Stanowisko WSA

WSA uchylił decyzję organu nadzorczego. W jego ocenie Prezes UODO ani nie uzasadnił wystarczająco, dlaczego uznał, że spółka naruszyła obowiązek zawiadomienia osoby o naruszeniu danych, ani nie wykazał realnego ryzyka poważnych konsekwencji dla tej osoby. W odpowiedzi na wyrok WSA – Prezes UODO złożył skargę kasacyjną do NSA.

Stanowisko NSA

Zdaniem NSA, jeśli prawdopodobieństwo naruszenia praw osoby, której dane dotyczą, nie jest małe, a skutki mogą być poważne – nawet bez faktycznej szkody – to istnieje wysokie ryzyko naruszenia jej praw i wolności.

Ponadto ujawnienie numeru PESEL samo w sobie wiąże się z ryzykiem wystąpienia poważnych konsekwencji (np. kradzieży tożsamości). W takiej sytuacji administrator ma obowiązek poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych. W konsekwencji NSA uchylił wyrok WSA i przekazał sprawę do ponownego rozpatrzenia.

Wnioski dla administratorów

Z tej sprawy można wyciągnąć kilka wniosków, oto 4 kluczowe.

  1. Jeśli sytuacja może spowodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą – zawiadomienie jej jest obowiązkowe. Może to dotyczyć nawet sytuacji, w których nic złego się nie wydarzyło. Nie musi dojść do faktycznej szkody czy naruszenia praw lub wolności – wystarczy, że istnieje wysokie prawdopodobieństwo ich wystąpienia.
  2. Należy zachować szczególną uwagę, gdy naruszenie dotyczy danych umożliwiających identyfikację osoby fizycznej, w szczególności jej imienia, nazwiska i numeru PESEL. W takich przypadkach ryzyko naruszenia praw i wolności jest podwyższone. Wiąże się to więc z koniecznością zgłoszenia do Prezesa UODO oraz zawiadomienia o naruszeniu osoby, której dane dotyczą.
  3. To administrator decyduje, czy ryzyko naruszenia praw i wolności jest wysokie, kierując się obiektywnymi kryteriami. Każdy przypadek powinien być oceniany indywidualnie. Próby „przemilczenia” incydentu lub uznania go za nieistotny bez rzetelnej analizy mogą prowadzić do reakcji ze strony Prezesa UODO.
  4. Ważna jest dokumentacja. Nawet jeśli administrator uzna, że nie ma obowiązku zgłoszenia naruszenia do Prezesa UODO ani zawiadomienia osoby, której dane dotyczą – powinien posiadać dokumentację i analizy uzasadniające taką decyzję.

Naruszenia ochrony danych osobowych są codziennością dla wielu administratorów. Kluczowe jest jednak to, jak się na nie reaguje. Dlatego tak istotne jest wdrożenie i stosowanie odpowiednich procedur reagowania na incydenty, które krok po kroku wskazują, co należy zrobić, aby ograniczyć skutki naruszenia i zminimalizować ryzyko nałożenia kary przez Prezesa UODO.

Jeśli potrzebują Państwo wsparcia w zakresie zarządzania incydentem ochrony danych lub mają pytania do tego tematu – zachęcamy do kontaktu.

[1] https://uodo.gov.pl/pl/138/3932

Autor :
Mateusz Wita
Senior Associate Radca prawny | OW Legal
Specjalizuje się w doradztwie prawnym związanym z ochroną danych osobowych oraz bezpieczeństwem informacji. Posiada doświadczenie w obsłudze prawnej przedsiębiorców, w tym będących częścią międzynarodowych grup kapitałowych, w szczególności z branży produkcyjnej, automotive, IT i e-commerce.
LinkedIn
Więcej postów tego autora
Autor :
Angelika Rok
Associate | OW Legal
Więcej postów tego autora

może zainteresuje Cię również

Prawo i interpretacje

Koncesja na wytwarzanie i obrót uzbrojeniem w Polsce – wymogi, rodzaje, sankcje

Czytaj więcej
Prawo i interpretacje

Kto i jak musi zadbać o kompetencje załogi w zakresie AI?

Czytaj więcej
Prawo i interpretacje

SN odniósł się do znaczenia pojęć „stanowisko pracy” i „rodzaj pracy”

Czytaj więcej