Home -
Prawo -
Firma ukarana za brak zgłoszenia incydentu. NSA: samo ryzyko kradzieży PESEL to już powód do alarmu

Firma ukarana za brak zgłoszenia incydentu. NSA: samo ryzyko kradzieży PESEL to już powód do alarmu

Niedawny wyrok NSA to jedno z ważniejszych orzeczeń ostatnich miesięcy w obszarze ochrony danych osobowych. Choć dotyczy pojedynczej wysyłki maila z niezaszyfrowanym załącznikiem, w praktyce zmienia sposób, w jaki administratorzy danych powinni rozumieć obowiązek informowania osób o naruszeniach.

Mariusz Lewandowski10.11.2025 20:56

Prawo

10.11.2025 20:56

Mariusz Lewandowski

redaktor

Sprawa dotyczyła firmy ubezpieczeniowej, która – po wysłaniu oferty nie tej osobie, co trzeba – uznała, że incydent nie jest na tyle poważny, by informować Prezesa UODO i samego klienta. UODO się z tym nie zgodził i nałożył karę ponad 159 tys. zł. Wojewódzki Sąd Administracyjny tę decyzję uchylił, ale Naczelny Sąd Administracyjny właśnie uznał, że to WSA popełnił błąd w ocenie i nakazał ponowne rozpatrzenie sprawy.

NSA przesądził kilka istotnych rzeczy

Po pierwsze – ryzyko naruszenia praw lub wolności osoby fizycznej nie oznacza, że musi dojść do faktycznej szkody. Wystarczy samo „wysokie ryzyko”, że do niej może dojść. W praktyce oznacza to, że administrator nie może czekać, aż ktoś zaciągnie pożyczkę na cudze dane – wystarczy, że ujawnione informacje (np. PESEL, imię i nazwisko) mogą to umożliwić.

Po drugie, sąd zwrócił uwagę, że przy ocenie ryzyka nie chodzi tylko o prawdopodobieństwo, ale też o wagę potencjalnych skutków. Innymi słowy – nawet jeśli coś jest mało prawdopodobne, ale ewentualne konsekwencje dla osoby byłyby poważne (np. kradzież tożsamości), to i tak administrator powinien powiadomić zarówno UODO, jak i osobę, której dane dotyczą.

To istotna korekta wobec podejścia prezentowanego dotąd przez część podmiotów – zwłaszcza firm finansowych czy ubezpieczeniowych – które często uznawały, że „jedna pomyłka” i ujawnienie danych jednej osoby nie stanowią poważnego incydentu. NSA przypomniał, że PESEL to nie są „niewinne” dane identyfikacyjne, lecz klucz do całego zestawu informacji o obywatelu i realne narzędzie umożliwiające podszycie się pod niego.

Sąd odniósł się też do argumentu, że obowiązek notyfikacji nie ma charakteru absolutnego

Administrator rzeczywiście nie musi informować o każdym, nawet błahym naruszeniu – ale tylko wtedy, gdy mało prawdopodobne jest wystąpienie ryzyka. I to właśnie ten aspekt – „małe prawdopodobieństwo ryzyka” – musi być przez administratora rzetelnie wykazany, poparty doświadczeniem i wiedzą o podobnych przypadkach.

W praktyce więc orzeczenie znacząco podnosi standard staranności, jakiego UODO i sądy mogą oczekiwać od firm w podobnych sytuacjach. To też czytelny sygnał dla przedsiębiorców, że zatajanie incydentów, nawet jednostkowych, staje się ryzykowne. Z perspektywy osób, których dane dotyczą, wyrok zwiększa szanse, że dowiedzą się o potencjalnym naruszeniu ich prywatności wcześniej – zanim stanie się ono realnym problemem.

Dla administratorów danych to z kolei sygnał, że w razie wątpliwości bezpieczniej będzie zgłosić naruszenie i powiadomić osobę, niż liczyć na to, że UODO uzna incydent za niegroźny. NSA wyraźnie przesunął granicę interpretacji na stronę ochrony jednostki, a nie wygody instytucji.

Dołącz do dyskusji

zobacz więcej:

dane osobowe,pesel,RODO,uodo

kliknij by przejść do następnego posta

Najnowsze

Warte Uwagi

Firma ukarana za brak zgłoszenia incydentu. NSA: samo ryzyko kradzieży PESEL to już powód do alarmu

10.11.2025 20:56, Mariusz Lewandowski

Uczucie dyskomfortu po wycieku danych osobowych to trochę za mało na odszkodowania

10.11.2025 20:18, Mariusz Lewandowski

Siłownia za 60 zł dziennie. To oczywiście nie jest tyle warte, chodzi o coś zupełnie innego

10.11.2025 20:10, Aleksandra Smusz

Skandal w muzeum. Profesor z zagranicznymi gośćmi nie został wpuszczony do WC

10.11.2025 14:28, Aleksandra Smusz

Jeszcze 800 tys. Polaków nie złożyło wniosku o ulgę. Czas jest tylko do końca listopada

10.11.2025 12:54, Edyta Wara-Wąsowska

Dogadzanie emerytom i pomijanie problemów 30-latków musiało źle się skończyć dla dużych partii politycznych

10.11.2025 12:14, Mateusz Krakowski

Zagadkowe słowa Brzoski. Ja teraz nie wiem, czy robić świąteczne zakupy na Allegro

10.11.2025 10:48, Jakub Kralka

Zmieni się forma kontaktu Polaków z urzędami. Nie wszystkim się to spodoba

10.11.2025 10:47, Edyta Wara-Wąsowska

Ta funkcja może czasami uratować nas podczas zakupów. Na razie ma ją tylko kilka banków

10.11.2025 9:55, Mateusz Krakowski

Wiadomo, ile trzeba obecnie odkładać na mieszkanie. Jest lepiej, niż było

10.11.2025 8:55, Edyta Wara-Wąsowska

Zmiany w dopłatach do elektryków. Mniejszy budżet i dofinansowanie do chińskich samochodów

10.11.2025 7:57, Joanna Świba

Przeprowadzka Uberem. Może nie uwierzycie, ale są osoby, które wpadają na taki pomysł

10.11.2025 7:00, Aleksandra Smusz

Pijany i naćpany kierowca zabił 3 osoby. W USA zgniłby w więzieniu, w Polsce zrobi rzeźbę, nauczy się grać w bilarda i odzyska wolność

09.11.2025 17:59, Marcin Szermański

Nawet ponad 50 000 zł dofinansowania na firmę. Sprawdź, kto może z niego skorzystać

09.11.2025 17:09, Marek Śmigielski

Dla państwa życie człowieka jest warte tyle co para butów

09.11.2025 16:31, Miłosz Magrzyk

Jeżeli twój szef zapłacił ci więcej niż powinien, to on ma problem – nie ty

09.11.2025 15:31, Miłosz Magrzyk

Ślub bez skutków cywilnych czasem się opłaca. Trzeba tylko dostać zgodę biskupa

09.11.2025 11:54, Rafał Chabasiński

Twoje mieszkanie powoli cię zabija. I ktoś powinien wreszcie za to zapłacić

09.11.2025 11:52, Miłosz Magrzyk

1 zł w bibliotece, 100 zł na Allegro. Oni robią biznes życia na używanych książkach

09.11.2025 11:46, Aleksandra Smusz

Sprzedawcy z Allegro pakują małe rzeczy w wielkie pudła. Co z ekologią i komfortem kupującego?

09.11.2025 11:38, Aleksandra Smusz

Lidl Plus wymaga smartfona, a co z Kaufland Card? Market znalazł sposób na seniorów

08.11.2025 19:03, Aleksandra Smusz

Gdzie najłatwiej kupić mieszkanie do 350 000 zł? Da się, nie tylko w małym mieście

08.11.2025 17:46, Marek Śmigielski

Podatek od smartfonów od przyszłego roku. Rząd nie chce zrozumieć, dlaczego Polacy go nie chcą

08.11.2025 14:04, Rafał Chabasiński

Ślub to pole minowe. Sale weselne sprytnie „opodatkowują” klientów

08.11.2025 13:40, Miłosz Magrzyk

Sklep internetowy Rossmann ma przydatną opcję. To powinno być standardem w każdym sklepie

08.11.2025 13:01, Aleksandra Smusz

Niania zniknęła? Pamiętaj, by wyrejestrować ją z ZUS

08.11.2025 12:39, Jerzy Wilczek

ZUS wie o tobie więcej niż własna matka. Ale matkę możesz oszukać

08.11.2025 12:25, Joanna Świba

W 2027 roku wejdzie limit płatności gotówką. Mimo wszystko jest to jednak zagrożenie

08.11.2025 12:25, Marcin Szermański

Mandat droższy od samochodu, a to dopiero początek problemów tego młodego gentlemana

08.11.2025 12:24, Marcin Szermański

Uważajcie, co klikacie w mObywatelu. Przez przypadek można zapisać się do wojska

08.11.2025 12:10, Katarzyna Zuba