NSA: obowiązek zawiadamiania o naruszeniu ochrony danych osobowych powstaje już na etapie ryzyka

Stan faktyczny

Przedmiotem sprawy był incydent związany z nieuprawnionym dostępem do danych pracowników Santander Bank Polska S.A. za pośrednictwem Platformy Usług Elektronicznych ZUS (PUE ZUS). Ustalono, że były pracownik banku – mimo zakończenia stosunku pracy – zachował aktywne uprawnienia do systemu i mógł przeglądać dane innych pracowników, korzystając z profilu płatnika przypisanego do banku. W toku postępowania wykazano, że osoba ta logowała się do systemu pięciokrotnie w okresie około ośmiu miesięcy po ustaniu zatrudnienia, co potwierdzało, że dostęp nie miał charakteru incydentalnego, lecz utrzymywał się przez dłuższy czas i był faktycznie wykorzystywany w postaci logowania do systemu.

Zakres dostępnych danych obejmował m.in. imiona i nazwiska, numery PESEL, adresy zamieszkania lub pobytu oraz informacje o zwolnieniach lekarskich, a więc również dane dotyczące zdrowia, stanowiące szczególną kategorię danych osobowych w rozumieniu art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Dane te, ze względu na swoją wrażliwość oraz możliwość ich wykorzystania w różnych kontekstach, w tym w celu uzyskania świadczeń lub zaciągania zobowiązań finansowych, zostały uznane za szczególnie istotne przy ocenie ryzyka naruszenia praw lub wolności osób fizycznych.

Administrator zgłosił naruszenie do Prezesa UODO, wskazując jednak, że uczynił to „z ostrożności”. Po przeprowadzeniu własnej analizy uznał, że incydent nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, podnosząc w szczególności brak dowodów na faktyczne wykorzystanie danych przez osobę nieuprawnioną. W konsekwencji nie zawiadomił osób, których dane dotyczą. W miejsce indywidualnego zawiadomienia opublikowano ogólny komunikat na wewnętrznej platformie komunikacyjnej, który miał charakter informacyjny i przypominający zasady przetwarzania danych osobowych, lecz nie odnosił się bezpośrednio do zaistniałego incydentu.

Prezes UODO uznał takie działania za niewystarczające i stwierdził naruszenie art. 34 ust. 1 RODO. Organ podkreślił, że sam fakt utrzymywania przez osobę nieuprawnioną dostępu do danych – niezależnie od tego, czy doszło do ich faktycznego wykorzystania – powodował powstanie wysokiego ryzyka dla praw lub wolności osób fizycznych. W konsekwencji nałożył na bank administracyjną karę pieniężną w wysokości 545 748 zł oraz nakazał niezwłoczne zawiadomienie wszystkich osób, których dane mogły zostać objęte naruszeniem, w tym także byłych pracowników.

Postępowanie przed sądami administracyjnymi i wyrok NSA

Wojewódzki Sąd Administracyjny wyrokiem z 15.11.2022 r., II SA/Wa 546/22, Legalis, oddalił skargę banku, w pełni podzielając stanowisko Prezesa UODO zarówno co do samego faktu naruszenia ochrony danych osobowych, jak i istnienia obowiązku zawiadomienia osób, których dane dotyczą. Sąd I instancji uznał, że już sam nieuprawniony dostęp do danych – wynikający z braku odebrania uprawnień po zakończeniu zatrudnienia – stanowi naruszenie poufności danych, a jego charakter i zakres uzasadniają przyjęcie wysokiego ryzyka dla praw lub wolności osób fizycznych.

Naczelny Sąd Administracyjny, rozpoznając skargę kasacyjną, w całości podtrzymał tę ocenę. W wyroku z 6.3.2026 r. NSA jednoznacznie wskazał, że dla zastosowania art. 34 ust. 1 RODO decydujące znaczenie ma wystąpienie ryzyka naruszenia praw lub wolności osób fizycznych, a nie ustalenie, czy doszło do faktycznego zapoznania się z danymi przez osobę nieuprawnioną. Tym samym sąd potwierdził, że obowiązek zawiadomienia aktualizuje się na etapie ryzyka naruszenia praw lub wolności osób fizycznych.

Sąd nie podzielił argumentacji skarżącego, zgodnie z którą dostęp do danych przez „zaufaną osobę” wyłącza istnienie wysokiego ryzyka. NSA podkreślił, że po ustaniu stosunku pracy były pracownik traci uprawnienia do przetwarzania danych i staje się osobą nieuprawnioną w rozumieniu przepisów o ochronie danych osobowych. W konsekwencji sam fakt utrzymywania przez taką osobę dostępu do systemu stanowi wystarczającą podstawę do przyjęcia, że istnieje realne ryzyko naruszenia praw lub wolności osób, których dane dotyczą, niezależnie od relacji łączącej ją uprzednio z administratorem.

W ocenie sądu kluczowe znaczenie miał również zakres danych dostępnych w systemie PUE ZUS, obejmujący zarówno dane identyfikacyjne (w tym numer PESEL i adres), jak i dane dotyczące zdrowia. NSA zaakcentował, że zakres tych informacji zwiększa ryzyko ich wykorzystania w sposób nieuprawniony, w tym do działań ingerujących w sferę prywatności lub sytuację majątkową osoby, której dane dotyczą. Tego rodzaju okoliczności uzasadniają przyjęcie, że naruszenie wiąże się z wysokim ryzykiem w rozumieniu art. 34 RODO.

NSA wskazał także, że obowiązek zawiadomienia osób, których dane dotyczą, ma charakter ochronny i służy umożliwieniu im podjęcia działań ograniczających potencjalne negatywne skutki naruszenia. Zaniechanie realizacji tego obowiązku prowadzi do pozbawienia tych osób możliwości odpowiedniej reakcji na zaistniałą sytuację. W konsekwencji brak zawiadomienia – przy stwierdzonym wysokim ryzyku – należy ocenić jako naruszenie przepisów RODO.

Komentarz

Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →