Firma ukarana za brak zgłoszenia incydentu. NSA: samo ryzyko kradzieży PESEL to już powód do alarmu

Sprawa dotyczyła firmy ubezpieczeniowej, która – po wysłaniu oferty nie tej osobie, co trzeba – uznała, że incydent nie jest na tyle poważny, by informować Prezesa UODO i samego klienta. UODO się z tym nie zgodził i nałożył karę ponad 159 tys. zł. Wojewódzki Sąd Administracyjny tę decyzję uchylił, ale Naczelny Sąd Administracyjny właśnie uznał, że to WSA popełnił błąd w ocenie i nakazał ponowne rozpatrzenie sprawy.

NSA przesądził kilka istotnych rzeczy

Po pierwsze – ryzyko naruszenia praw lub wolności osoby fizycznej nie oznacza, że musi dojść do faktycznej szkody. Wystarczy samo „wysokie ryzyko”, że do niej może dojść. W praktyce oznacza to, że administrator nie może czekać, aż ktoś zaciągnie pożyczkę na cudze dane – wystarczy, że ujawnione informacje (np. PESEL, imię i nazwisko) mogą to umożliwić.

Po drugie, sąd zwrócił uwagę, że przy ocenie ryzyka nie chodzi tylko o prawdopodobieństwo, ale też o wagę potencjalnych skutków. Innymi słowy – nawet jeśli coś jest mało prawdopodobne, ale ewentualne konsekwencje dla osoby byłyby poważne (np. kradzież tożsamości), to i tak administrator powinien powiadomić zarówno UODO, jak i osobę, której dane dotyczą.

To istotna korekta wobec podejścia prezentowanego dotąd przez część podmiotów – zwłaszcza firm finansowych czy ubezpieczeniowych – które często uznawały, że „jedna pomyłka” i ujawnienie danych jednej osoby nie stanowią poważnego incydentu. NSA przypomniał, że PESEL to nie są „niewinne” dane identyfikacyjne, lecz klucz do całego zestawu informacji o obywatelu i realne narzędzie umożliwiające podszycie się pod niego.

Sąd odniósł się też do argumentu, że obowiązek notyfikacji nie ma charakteru absolutnego

Administrator rzeczywiście nie musi informować o każdym, nawet błahym naruszeniu – ale tylko wtedy, gdy mało prawdopodobne jest wystąpienie ryzyka. I to właśnie ten aspekt – „małe prawdopodobieństwo ryzyka” – musi być przez administratora rzetelnie wykazany, poparty doświadczeniem i wiedzą o podobnych przypadkach.

W praktyce więc orzeczenie znacząco podnosi standard staranności, jakiego UODO i sądy mogą oczekiwać od firm w podobnych sytuacjach. To też czytelny sygnał dla przedsiębiorców, że zatajanie incydentów, nawet jednostkowych, staje się ryzykowne. Z perspektywy osób, których dane dotyczą, wyrok zwiększa szanse, że dowiedzą się o potencjalnym naruszeniu ich prywatności wcześniej – zanim stanie się ono realnym problemem.

Dla administratorów danych to z kolei sygnał, że w razie wątpliwości bezpieczniej będzie zgłosić naruszenie i powiadomić osobę, niż liczyć na to, że UODO uzna incydent za niegroźny. NSA wyraźnie przesunął granicę interpretacji na stronę ochrony jednostki, a nie wygody instytucji.

Obserwuj nas w Google Discover

Podobają Ci się nasze treści?

Google Discover

Obserwuj