Naczelny Sąd Administracyjny potwierdził zarzuty prezesa Urzędu Ochrony Danych Osobowych do wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie związanego z karą w wysokości 159 176 zł, jaką PUODO nałożył na STU ERGO Hestia za niezgłoszenie naruszenia ochrony danych osobowych i niepowiadomienie osoby nim dotkniętej. Sprawa trafi do ponownego rozpatrzenia przez WSA.
Naruszenie dotyczyło wysyłki maila z niezaszyfrowanym załącznikiem z ofertą ubezpieczeniową, zawierającą dane osobowe (m.in. imię, nazwisko oraz numer PESEL) i informacje finansowe do niewłaściwej osoby.
WSA po skardze ubezpieczyciela uchylił decyzję PUODO. Sąd uznał, że naruszenie dotyczyło tylko jednej osoby, przy czym charakter i rodzaj udostępnionych danych w dużym stopniu umożliwiał ustalenie tożsamości konkretnej osoby. Dlatego w ocenie WSA sprawa wymagała zgłoszenia do prezesa UODO.
Sąd stwierdził też, że PUODO nie wyjaśnił dostatecznie w uzasadnieniu decyzji, dlaczego przyjął, że spółka naruszyła art. 34 ust.1 RODO (bo naruszenie ochrony danych osobowych mogło powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych). Zdaniem WSA prezes nie wykazał przekonująco, że w praktyce możliwe są zdarzenia mogące powodować doniosłe negatywne konsekwencji dla osób, których dane dotyczą.
PUODO wniósł skargę kasacyjną, zarzucając WSA błędną wykładnię przepisu art. 34, polegającą na pominięciu, że czynnikiem, który należy brać pod uwagę przy analizie ryzyka jest również waga/skutek dla osób fizycznych, a nie tylko prawdopodobieństwo. Rozpatrujący ją Naczelny Sąd Administracyjny nakazał WSA ponownie rozpatrzyć sprawę i wskazał, czym ma się kierować.
NSA stwierdził, że skarga zasługuje na uwzględnienie.
„Ustalenie, że prawdopodobieństwo naruszenia praw lub wolności osoby fizycznej nie jest małe w połączeniu ze wskazaną wyżej wysoką wagą potencjalnego wpływu naruszenia na prawa lub wolności osoby fizycznej przesądza o możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności tej osoby, co nakłada na administratora obowiązek zawiadomienia osoby, której dane dotyczą, o tymże naruszeniu” – stwierdził sąd.
Zdaniem NSA w istocie kwestią sporną jest tu to, czy naruszenie poufności danych, jakie niewątpliwie miało miejsce, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Nie zgodził się też z sądem niższej instancji, że PUODO niewystarczająco uzasadnił swoją decyzję, czym miał naruszyć art. 107 § 3 k.p.a.
W ocenie sądu nie może być wątpliwości, że rozpatrywane zdarzenie może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, przez sam fakt, że dotyczy danych osobowych w postaci PESEL w powiązaniu z imieniem i nazwiskiem oraz innymi danymi osobowymi. Wiadomo bowiem, że ujawnienie PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), może zostać wykorzystany w szczególności do zaciągnięcia kredytu lub pożyczki na cudze dane.
(AM, źródło: UODO)
