Decyzja DKN.5131.6.2025

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2024 r. poz. 572 ze zm.) w związku z art. 7, art. 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 lit. a) i lit. h), art. 58 ust. 2 lit. b) i d), w związku z art. 33 ust. 1 oraz 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), dalej: rozporządzenie 2016/679,

po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przez Pana G. Z., prowadzącego działalność gospodarczą pod nazwą K. (…) (ul. (…), (…)-(…) D.) przepisów o ochronie danych osobowych, Prezes Urzędu Ochrony Danych Osobowych

stwierdzając naruszenie przez Pana G. Z., prowadzącego działalność gospodarczą pod nazwą K. (…) (ul. (…), (…)-(…) D.) przepisów:

a)

art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

b)

art. 34 ust. 1 i 2 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane zostały ujawnione nieuprawnionemu podmiotowi,

1)

udziela Panu G. Z., prowadzącemu działalność gospodarczą pod nazwą K. (…) (ul. (…), (…)-(…) D.) upomnienia,

2)

nakazuje Panu G. Z., prowadzącemu działalność gospodarczą pod nazwą K. (…) (ul. (…), (…)-(…) D.) zawiadomienie, w terminie 7 dni od dnia doręczenia niniejszej decyzji, osoby, której dane zostały udostępnione nieuprawnionemu odbiorcy, o naruszeniu ochrony jej danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:

a)

opisu charakteru naruszenia ochrony danych osobowych;

b)

imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c)

opisu możliwych konsekwencji naruszenia ochrony danych osobowych;

d)

opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Uzasadnienie

1. Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również „Prezesem UODO” lub „organem nadzorczym”, 15 lipca 2020 r. wpłynęła informacja dotycząca możliwości naruszenia ochrony danych osobowych w związku z działaniami lekarza, będącego pracownikiem J. (…) Sp. z o.o. z siedzibą w M. (dalej: „J. (…)” lub „Spółka”). Przekazane informacje wskazywały na niewłaściwe postępowanie z dokumentacją medyczną zawierającą dane osobowe pacjentów. Pacjent starający się o uzyskanie świadczenia w J. (…) Sp. z o.o. stwierdził, że w zaparkowanym w jej pobliżu samochodzie marki G., o nr. rejestracyjnym (…), na którego przedniej szybie znajdowała się kartka z napisem „lekarz rodzinny”, pozostawiona została dokumentacja medyczna w postaci kart pacjentów. Dokumentacja ta znajdowała się w przezroczystym pojemniku umieszczonym na przednim siedzeniu ww. samochodu, przy czym jedna z kart pacjentów leżała na pojemniku w taki sposób, że możliwe było odczytanie danych osobowych pacjenta w zakresie imienia, nazwiska, adresu zamieszkania lub pobytu, daty urodzenia oraz numeru PESEL.

2. W związku z pozyskanymi informacjami, pismem z 18 listopada 2020 r. Prezes UODO, na podstawie art. 58 ust 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do J. (…) o wyjaśnienie, czy w związku z zaistniałym zdarzeniem została dokonana analiza pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych, niezbędna do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której dane dotyczą. W odpowiedzi z 30 listopada 2020 r. J. (…) wskazało, że dokumentacja przechowywana w samochodzie nie dotyczyła jego pacjentów, a prawdopodobnie należała do innej jednostki bądź stanowiła dokumentację służbową lekarza prowadzącego indywidualną praktykę lekarską.

3. 25 listopada 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęło pismo Prokuratury Rejonowej w M. z 10 listopada 2020 r. przekazujące Prezesowi UODO, zgodnie z właściwością i celem podjęcia stosownych działań, sprawę możliwego naruszenia przepisów o ochronie danych osobowych udokumentowaną w postaci szeregu załączników. Wśród załączonych dokumentów znajdowała się m.in. treść korespondencji, którą otrzymał już wcześniej organ nadzorczy, przedstawiającej okoliczności opisane w pkt 1 niniejszej decyzji.

4. Na podstawie przekazanych przez Prokuraturę Rejonową w M. dokumentów Prezes UODO ustalił dane lekarza, odpowiedzialnego za incydent opisany w pkt 1 niniejszej decyzji, którym był G. Z.. W związku z powyższym, 21 marca 2022 r. Prezes UODO zwrócił się do J. (…) o udzielenie informacji dotyczących indywidualnej praktyki lekarskiej prowadzonej przez G. Z.. W odpowiedzi na wezwanie organu nadzorczego 30 marca 2022 r. Spółka wskazała, że „(…) nie posiada, ani nie gromadzi danych na temat prywatnych praktyk lekarskich prowadzonych we własnym zakresie przez zatrudnianych w (…) lekarzy”. Tym niemniej, na podstawie wyjaśnień zawartych w ww. piśmie J. (…) organ nadzorczy ustalił, że G. Z. prowadzi K. (…) (dalej: „K. (…)” lub „Administrator”) pod adresem: (…), (…)-(…) D. (adres do doręczeń: ul. (…), (…)-(…) A.).

5. 25 kwietnia 2022 r. organ nadzorczy skierował do Administratora, na wskazany w CEiDG adres do doręczeń (ul. (…), (…)-(…) A.), wezwanie, w którym zwrócił się o udzielenie informacji, czy w związku ze zdarzeniem polegającym na pozostawieniu niezabezpieczonych kart pacjentów na przednim siedzeniu samochodu marki G., w sposób umożliwiający odczytanie utrwalonych w nich danych osobowych, dokonana została analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Adresat nie podjął awizowanej przesyłki w terminie. Organ nadzorczy 1 czerwca 2022 r. ponowił wezwanie do wyjaśnień, kierując je na wskazany powyżej adres do doręczeń, jednak i w tym przypadku zostało ono zwrócone nadawcy jako niepodjęte w terminie.

6. Organ nadzorczy jeszcze dwukrotnie wzywał Administratora do złożenia wyjaśnień dotyczących ww. zdarzenia, kierując korespondencję o tożsamej treści na pozostałe dwa adresy wskazane w CEiDG jako adresy wykonywania przez Administratora działalności gospodarczej (ul. (…), (…)-(…) D. oraz ul. (…), (…)-(…) W.) – w dniach 8 września 2022 r. oraz 13 października 2022 r. Administrator nie podjął żadnej z sześciu kierowanych do niego przesyłek pod żadnym z trzech wymienionych adresów. W związku z brakiem współpracy Administratora z Prezesem UODO polegającym na niezapewnieniu dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, podjęto działania ukierunkowane na ewentualne nałożenie na Administratora administracyjnej kary pieniężnej w związku z ww. brakiem współpracy. Dopiero kontakt z Administratorem ze strony Departamentu Kar i Egzekucji Urzędu Ochrony Danych Osobowych, w ramach działań poprzedzających ewentualne wszczęcie postępowania w sprawie nałożenia administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym spowodował, że Administrator złożył wyjaśnienia w sprawie opisywanego zdarzenia.

7. W korespondencji z 22 maja 2023 r. (data wpływu do UODO: 30 maja 2023 r.) Administrator wskazał m.in. cyt.: „Dokumentację medyczną przewoziłem w moim prywatnym samochodzie a po wizycie domowej była w moim prywatnym samochodzie zabezpieczona do czasu zawiezienia jej do macierzystej przychodni i w żaden sposób nieudostępniana osobom trzecim”. Ponadto Administrator podkreślił, że „Po zaistniałym incydencie, kiedy się o tym dowiedziałem poinformowałem niezwłocznie o tym fakcie Panią (…) – moją pacjentkę. Poinformowałem ją, że jakaś nieuprawniona osoba jest w posiadaniu jej pesela i nazwiska oraz adresu zamieszkania i w razie jakiegoś z nią kontaktu powinna odpowiednio zareagować i poinformować niezwłocznie Policję”. Administrator nie wskazał jednak powodu, dla którego zaniechał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz nie przedstawił treści informacji przekazanej osobie, której dane dotyczą.

8. Prezes UODO pismem z dnia 10 kwietnia 2025 r. wszczął z urzędu wobec G. Z. prowadzącego działalność gospodarczą pod nazwą K. (…) postępowanie administracyjne w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło to naruszenie. Jednocześnie, Prezes UODO zwrócił się do Administratora o przedstawienie treści zawiadomienia o naruszeniu ochrony danych osobowych zrealizowanego – wedle deklaracji Administratora zawartej w jego piśmie z 22 maja 2023 r. – wobec osoby objętej naruszeniem ochrony danych osobowych, dla której naruszenie to skutkowało uratą poufności danych.

9. Do momentu wydania niniejszej decyzji Administrator nie udzielił odpowiedzi na wezwanie przekazane wraz z zawiadomieniem o wszczęciu postępowania administracyjnego z 10 kwietnia 2025. W związku z powyższym, 1 lipca 2025 r. Prezes UODO zwrócił się do Administratora o wykonanie działań zawartych w piśmie z dnia 10 kwietnia 2025 r. (odebranym w dniu 17 kwietnia 2025 r), a które nie zostały zrealizowane w terminie wskazanym w tym piśmie. Administrator nie udzielił odpowiedzi również na to wezwanie.

I. W tym stanie faktycznym, po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

4. Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

5. Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię, nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celi zminimalizowania jego ewentualnych negatywnych skutków.

6. Z kolei na podstawie art. 34 ust. 1 rozporządzenia 2016/679, w sytuacji, gdy istnieje możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o naruszeniu osobę, której dane dotyczą. Art. 34 ust. 2 rozporządzenia stanowi, że prawidłowe zawiadomienie powinno:

1)

jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;

2)

zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:

a)

imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

b)

opis możliwych konsekwencji naruszenia ochrony danych osobowych;

c)

opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

7. Analiza powyższych przepisów wskazuje na to, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli ocena wykaże, że nie jest prawdopodobne, aby naruszenie ochrony danych osobowych skutkowało ryzykiem dla praw lub wolności osób fizycznych, należy jedynie udokumentować takie naruszenie w wewnętrznej ewidencji. Możliwość wystąpienia ryzyka dla praw lub wolności osób fizycznych generuje ponadto konieczność zgłoszenia naruszenia ochrony danych Prezesowi UODO. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, rozporządzenie 2016/679 wprowadza także dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych, chyba że administrator podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia ochrony danych osobowych (art. 34 ust. 3 rozporządzenia 2026/679).

8. Z powyższych rozważań wynika, że w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych w pierwszej kolejności niezbędne jest dokonanie analizy pod kątem możliwości wystąpienia w jego wyniku ryzyka dla praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli przeprowadzona analiza wykaże, że istnieje najwyżej małe prawdopodobieństwo wystąpienia takiego ryzyka. Należy jednak mieć na względzie fakt, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia ochrony danych osobowych, w związku z czym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń.

9. Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe. Warto również odwołać się w tym miejscu do Wytycznych Europejskiej Rady Ochrony Danych (dalej jako EROD) 9/2022 dotyczących zgłaszania naruszenia ochrony danych osobowych na podstawie RODO^[1] – zwłaszcza do działu II tych Wytycznych dotyczącego art. 33 rozporządzenia 2016/679 oraz wynikającego z niego obowiązku powiadomienia organu nadzorczego. W rozdziale D tego działu EROD omówiła warunki, w których powiadomienie takie nie jest wymagane – wnikliwe przeanalizowanie treści tego rozdziału pozwala stwierdzić, że EROD stoi na stanowisku, że wyjątek z art. 33 ust. 1 rozporządzenia 2016/679 (tj. przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu ze względu na małe prawdopodobieństwo wystąpienia naruszenia praw lub wolności osób fizycznych) należy rozumieć wąsko – inaczej mówiąc: jako wyjątek, który znajdzie zastosowanie w sytuacjach, gdy to prawdopodobieństwo jest w sposób oczywisty małe. Z ww. wytycznych wynika, że „zgłoszenie naruszenia właściwemu organowi jest obowiązkowe, chyba że dane naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw lub wolności osób fizycznych”. Oznacza to, że występująca w polskiej wersji rozporządzenia 2016/679 przesłanka „małego prawdopodobieństwa” powinna być utożsamiana z brakiem realnych szans na rzeczywistą materializację potencjalnych skutków dla osób, których dane dotyczą.

10. W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw lub wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują, aby w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

11. Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia ochrony danych osobowych i zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu pozbawia go możliwości odpowiedniej reakcji na naruszenie, które polega nie tylko na ocenie ryzyka naruszenia praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia ochrony danych osobowych.

12. Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, oraz – jeśli takie ryzyko wystąpiło – to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej na ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

13. Jak wynika z powyższych rozważań, administrator niezwłocznie pod uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę ryzyka związanego z tym naruszeniem dla praw lub wolności osób fizycznych, których to naruszenie dotyczy. Ocena ryzyka powinna stanowić podstawę dla decyzji administratora prowadzącej do podjęcia dalszych działań w celu realizacji obowiązków wynikających z art. 33 ust. 1 oraz 34 ust. 1 i 2 rozporządzenia 2016/679.

14. Organ nadzorczy sześciokrotnie kierował do Administratora pisma wskazujące na możliwość wystąpienia naruszenia ochrony danych osobowych. Korespondencja kierowana do Administratora została zwrócona do tut. Urzędu, ze względu na jej niepodjęcie ich w terminie. Wielokrotne, bezskuteczne próby doręczenia przesyłek czynią zasadnym wniosek o unikaniu przez Administratora kontaktu z organem nadzorczym. Administrator złożył wyjaśnienia w sprawie wyłącznie jednorazowo – po nawiązaniu z nim kontaktu ze strony Departamentu Kar i Egzekucji Urzędu Ochrony Danych Osobowych, w ramach działań poprzedzających ewentualne wszczęcie postępowania w sprawie nałożenia administracyjnej kary pieniężnej w związku z brakiem współpracy z organem nadzorczym. Niemniej dalsza korespondencja tut. Urzędu dotycząca omawianego zdarzenia pozostawiona została bez odpowiedzi. Potwierdza to słuszność wniosku o intencjonalnym unikaniu kontaktu z organem nadzorczym, a zarazem o lekceważeniu obowiązków regulowanych przepisami o ochronie danych osobowych.

15. Jednocześnie, z przekazanych przez Prokuraturę Rejonową w M. materiałów wynika, że Administrator uzyskał wiedzę o zdarzeniu wiążącym się z utratą poufności danych jego pacjentki na długo przed skierowaniem do niego pierwszego pisma przez Prezesa UODO. W lipcu 2020 r. G. Z. prowadził bowiem korespondencję e-mail z osobą, która poinformowała o tym zdarzeniu ww. prokuraturę, a także Prezesa UODO, zaś korespondencja ta wprost podejmowała wątki dotyczące tego zdarzenia (wydruk wiadomości email z 29 lipca 2020 r. w aktach sprawy). W szczególności, w ww. wiadomości email wprost omawiana jest sprawa „robieni[a] zdjęć prywatnemu podmiotowi [samochodowi] obcej osoby czy robieni[a] zdjęć dokumentacji”. Nie ulega zatem wątpliwości, że Administrator już na tym etapie miał świadomość zaistnienia incydentu bezpieczeństwa skutkującego zapoznaniem się z danymi jego pacjenta przez osobę nieuprawnioną. W materiale sprawy – na którego zakres w oczywisty sposób wpłynęły zaniechania Administratora (brak oczekiwanych przez organ nadzorczy wyjaśnień lub dowodów) – brak jest natomiast dowodu wskazującego, aby uzyskanie wiedzy o zdarzeniu wiązało się z realizacją podstawowego w tej sytuacji obowiązku administratora – tj. z dokonaniem analizy ryzyka naruszenia praw lub wolności osób fizycznych, związanego z opisanym zdarzeniem.

16. Na podstawie zgormadzonego materiału dowodowego sprawy zasadnym jest przyjęcie, że Administrator nie przeprowadził w związku z zaistniałym naruszeniem ochrony danych osobowych oceny ryzyka naruszenia praw lub wolności osób fizycznych opartej o obiektywne kryteria. Administrator nie wykazał również – zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679 – że nie jest prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Administrator w toku postępowania ograniczył się do wskazania w piśmie z 22 maja 2023 r., że „Dokumentację medyczną przewoziłem w moim prywatnym samochodzie a po wizycie domowej była w moim prywatnym samochodzie zabezpieczona do czasu zawiezienia jej do macierzystej przychodni i w żaden sposób nieudostępniana osobom trzecim. Nie wiem, z jakiego powodu kopia fotograficzna jednej z kart pacjenta dostała się w ręce niezadowolonego pacjenta”.

17. Jednocześnie Administrator wskazał, że przekazał informację o wystąpieniu omawianego zdarzenia osobie, której dane dotyczą, tj.: „(…) poinformowałem niezwłocznie o tym fakcie Panią (…) moją pacjentkę. Poinformowałem ją, że jakaś nieuprawniona osoba jest w posiadaniu jej pesela i nazwiska oraz adresu zamieszkania i w razie jakiegoś z nią kontaktu powinna odpowiednio zareagować i poinformować niezwłocznie Policję”. Powyższe wskazuje, iż Administrator dostrzegł możliwość wystąpienia negatywnych konsekwencji naruszenia ochrony danych osobowych po stronie osoby, której dane dotyczą. Jest to wniosek tym bardziej prawidłowy, że pośród danych objętych tym naruszeniem (ujawnionych co najmniej jednej osobie nieuprawnionej) znajdowały się imię, nazwisko, adres zamieszkania lub pobytu, data urodzenia oraz numer PESEL pacjentki Administratora, a więc dane, których zakres pozwala na jednoznaczną identyfikację konkretnej osoby fizycznej. Brak natomiast podstaw, aby przyjąć, że Administrator prawidłowo zidentyfikował ryzyka związane z tym naruszeniem i właściwie ocenił zarówno prawdopodobieństwo ich ziszczenia się, jak i poziom dolegliwości z punkt widzenia podmiotu danych – a to z uwagi na brak dowodów, które potwierdziłyby fakt przeprowadzenia analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, w tym sposób, przyjętą metodologię, czy jej wynik. Administrator nie przedłożył dowodów w podanym zakresie, pomimo wezwania.

18. Organ nadzorczy nie ma również podstaw by przyjąć, że zawiadomienie podmiotu danych o naruszeniu ochrony danych osobowych istotnie – zgodnie z deklaracją Administratora – zostało przez niego zrealizowane, jak również nie ma możliwości zweryfikowania jego terminowości, poprawności i kompletności w świetle wymogów z art. 34 ust. 2 w zw. z art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Do chwili wydania niniejszej decyzji, pomimo wezwania skierowanego do niego wraz zawiadomieniem o wszczęciu postępowania administracyjnego z 10 kwietnia 2025 r., skutecznie doręczonego 17 kwietnia 2025 r., Administrator nie przedstawił wymaganych dowodów w podanym zakresie. Nie można zatem przyjąć, że osoba, której dane dotyczą, uzyskała wszystkie niezbędne informacje o naruszeniu ochrony jej danych osobowych niezwłocznie po wystąpieniu naruszenia ochrony danych osobowych i wie, w jaki sposób się zabezpieczyć przed wystąpieniem negatywnych skutków naruszenia.

19. Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, w tym numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz adresem zamieszkania lub pobytu, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód.

20. Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do ujawnienia, co najmniej jednej osobie nieuprawnionej, tego numeru ewidencyjnego wraz z imieniem i nazwiskiem oraz adresem zamieszkania lub pobytu, które to zestawienie danych jest wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).

21. Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021^[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W tym przypadku EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega więc wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL) podkreślając jednocześnie, że naruszenie ochrony danych osobowych obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz tego rodzaju identyfikatorów, generuje ryzyka na poziomie wiążącym się zarówno z obowiązkiem notyfikacji incydentu organowi nadzorczemu, jak i zawiadomienia o naruszeniu osób, których dane dotyczą.

22. Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

23. Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.

24. Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z 22 września 2021 r., sygn. akt II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22), stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem”. W dalszej części powołanego orzeczenia wskazano, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

25. Należy również przywołać stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, że: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku – numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne).

26. Również w wyroku z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, Wojewódzki Sąd Administracyjny w Warszawie ocenił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach: z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, z 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23, z 6 listopada 2023 r., sygn. akt II SA/Wa 996/23 oraz z 7 listopada 2024 r., sygn. II SA/Wa 178/24.

27. W świetle powyższego warto przywołać także wyrok Naczelnego Sądu Administracyjnego w Warszawie z 6 grudnia 2023 r., sygn. akt III OSK 2931/21, w którym stwierdzono: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”.

28. Z ostatniego raportu infoDOK^[3] (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w samym IV kwartale 2024 r. odnotowano 2661 prób wyłudzeń kredytów i pożyczek na łączną kwotę 80 mln zł. W całym 2024 r. odnotowano natomiast 12 331 prób wyłudzeń kredytów na łączną kwotę 324,2 mln zł, zaś w całym 2023 r. 12 409 prób wyłudzeń kredytów.

29. Ponadto, jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że: „Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (…) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.

30. W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (…) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e-mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.

31. Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:

–

wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe – wskazane w umowie pożyczki – były nieprawdziwe – „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy – zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 – świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;

–

wyrok Sądu Rejonowego w Piszu z 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (…)”;

–

wyrok Sądu Rejonowego w Puławach z 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy – w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.

32. Ustawodawca dostrzegł niebezpieczeństwa związane z posłużeniem się numerem PESEL innej osoby, co spowodowało wprowadzenie od 1 czerwca 2024 r. możliwości jego zastrzeżenia. Za pomocą tej instytucji wprowadzone zostały rozwiązania zapobiegające zaciągnięciu na cudze dane różnego rodzaju zobowiązań w postaci np. kredytów i pożyczek oraz otwierania rachunków rozliczeniowych przeznaczonych do wykorzystania np. w działalności przestępczej. Regulacja ma również chronić prawa do nieruchomości przez nałożenie konieczności sprawdzania przez notariuszy, czy numer PESEL jest zastrzeżony, w przypadku sprzedaży lub obciążania nieruchomości. Co jednak istotne, wiedza podmiotu danych o fakcie utraty poufności jego numeru PESEL jest istotnym z czynnikiem pozwalającym na podjęcie świadomej decyzji odnośnie zasadności skorzystania z ww. instrumentu – tj. możliwości zastrzeżenia tego numeru. Wiedzę tę podmiot danych pozyskuje z zawiadomienia o naruszeniu ochrony danych osobowych, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679.

33. Trzeba również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych (ziszczenia się określonych ryzyk związanych ze zdarzeniem). Podobnie jest w przypadku obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679. Jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21 (utrzymanym przez NSA wyrokiem z dnia 20 marca 2025 r., sygn. akt III OSK 210/22): „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22).

34. Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.

35. Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osoby fizycznej należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane.

36. Podsumowując powyższe rozważania należy stwierdzić, że w analizowanym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Administratora obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679. Administrator, z uwagi na charakter swojej działalności, powinien mieć wiedzę o wynikających z przepisów prawa obowiązkach związanych ze stwierdzeniem naruszenia ochrony danych osobowych.

37. Odnosząc się do obowiązku Administratora określonego w art. 34 ust. 2 rozporządzenia 2016/679 Prezes UODO stwierdził, że Administrator (biorąc pod uwagę charakter naruszenia ochrony danych osobowych oraz kategorie danych, które uległy naruszeniu) powinien wskazać osobie, której dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia jej danych osobowych. Z całą pewnością w przypadku naruszenia takich danych, jak imię, nazwisko, adres zamieszkania lub pobytu oraz numer ewidencyjny PESEL, należy wskazać przede wszystkim na możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych. Jednocześnie Administrator, pomimo wezwania, nie przedstawił dowodu potwierdzającego, że skierował do osoby, której dane zostały objęte naruszeniem ochrony danych osobowych zawiadomienie zawierające wszystkie wymagane informacje, stosownie do art. 34 ust. 2 w związku z art. 33 ust. 3 rozporządzenia 2016/679.

38. W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej (por. wyrok WSA w Warszawie z 22 września 2021 r., sygn. akt II SA/Wa 791/21, utrzymany przez NSA wyrokiem z 20 marca 2025 r., sygn. akt III OSK 210/22).

39. W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

40. Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wskazano: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

41. Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia tej osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Witold Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak–Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobie, której dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony jej danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osoby, której dane dotyczą, Administrator powinien był bez zbędnej zwłoki zapewnić tej osobie możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679. Nieprzedłożenie przez Administratora stosownych dowodów, których oczekiwał od niego organ nadzorczy i które potwierdzałyby fakt, termin i sposób realizacji ww. obowiązku wobec podmiotu danych, skutkuje koniecznością przyjęcia, że obowiązek ten nie został zrealizowany. Brak wymaganego zawiadomienia o naruszeniu ochrony danych osobowych podmiotu danych oznacza w praktyce pozbawienie go przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony jego danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.

42. W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

43. W tym miejscu należy zaznaczyć, że zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

II. Uzasadnienie udzielenia upomnienia

44. W związku z powyższym, działając na podstawie art. 58 ust. 2 lit. b) rozporządzenia 2016/679, zgodnie z którym każdemu organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uprawnienie do udzielania upomnienia administratorowi, w przypadku naruszenia przepisów niniejszego rozporządzenia przez operacje przetwarzania, Prezes UODO uznaje za uzasadnione udzielenie Administratorowi upomnienia w zakresie stwierdzonego naruszenia przepisów art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.

45. Motyw 148 rozporządzenia 2016/679 stanowi, że aby egzekwowanie przepisów rozporządzenia było skuteczniejsze, należy za jego naruszenie nakładać sankcje, w tym administracyjne kary pieniężne – oprócz lub zamiast odpowiednich środków nakładanych na mocy niniejszego rozporządzenia przez organ nadzorczy. Jeżeli naruszenie jest niewielkie, karę pieniężną można zastąpić upomnieniem. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące.

46. Prezes UODO uznał, że w ustalonych okolicznościach niniejszej sprawy wystarczającym środkiem jest udzielenie Administratorowi upomnienia. Za okoliczność uzasadniającą taką decyzję, która za tym przemawia, jest fakt prowadzenia przez Prezesa UODO odrębnego postępowania administracyjnego wobec Administratora związanego z brakiem współpracy w niniejszej sprawie, które potencjalnie może doprowadzić do nałożenia na Administratora wyższej administracyjnej kary pieniężnej, niż za naruszenia przepisów rozporządzenia 2016/679 stwierdzone w tej decyzji. Wskazany brak współpracy Administratora z Prezesem UODO przejawia się w nieodbieraniu bądź nieudzielaniu odpowiedzi na korespondencję organu nadzorczego kierowaną do Administratora, co w znacznym stopniu utrudniło Prezesowi UODO ustalenie istotnych dla jej rozpoznania okoliczności oraz przedłużyło w sposób istotny czas prowadzenia przedmiotowego postępowania.

47. Niezależnie od upomnienia udzielonego Administratorowi niniejszą decyzją, wobec stwierdzonych naruszeń przepisów rozporządzenia 2016/679, Prezes UODO zastosował wobec Administratora środek naprawczy w postaci nakazu zawiadomienia, w terminie 7 dni od dnia doręczenia niniejszej decyzji, osoby, której dane zostały ujawnione nieuprawnionemu odbiorcy, o naruszeniu ochrony jej danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679 tj.: opisu charakteru naruszenia ochrony danych osobowych, imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji, opisu możliwych konsekwencji naruszenia ochrony danych osobowych, oraz opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych skutków. Administrator, pomimo kierowanych do niego wezwań w tym zakresie, nie wykazał, aby ww. informacje tej osobie zostały przez niego przekazane.

48. Należy zauważyć, ze w przypadku zaistnienia podobnego zdarzenia w przyszłości, każde upomnienie wydane przez Prezesa UODO wobec Administratora będzie brane pod uwagę przy ocenie przesłanej ewentualnego wymierzenia kary administracyjnej, zgodnie z zasadami określonymi w art. 83 ust. 2 rozporządzenia 2016/679.

49. W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.