Obowiązek informowania osób o naruszeniu danych ma jeden zasadniczy cel — dać im realną szansę zareagować, zanim pojawią się szkody. Nie chodzi o formalność, lecz o uczciwe uprzedzenie, że coś poszło nie tak i co można z tym zrobić. Najnowsze orzeczenia w sprawie „pomyłkowego e-maila” pokazują, jak tę zasadę stosować w praktyce, gdy w grę wchodzi choćby numer PESEL.

O co poszło w tej sprawie

Sprawa zaczęła się od wysłania niezaszyfrowanego załącznika z danymi osobowymi do niewłaściwego adresata. Prezes UODO uznał, że administrator powinien zgłosić naruszenie do organu oraz zawiadomić osobę, której dane dotyczą, i nałożył karę pieniężną. WSA uchylił decyzję w części, kwestionując obowiązek zawiadomienia osoby, bo — zdaniem sądu — organ nie wykazał wystarczająco „wysokiego ryzyka” dla praw lub wolności tej osoby. Po skardze kasacyjnej NSA nie zgodził się z tym podejściem i wskazał, że w ocenie ryzyka trzeba brać pod uwagę nie tylko prawdopodobieństwo szkody, ale także wagę ewentualnych skutków, które w przypadku zestawu „imię i nazwisko + PESEL” mogą być bardzo dotkliwe. Sprawę przekazano do ponownego rozpoznania z tą wyraźną wskazówką metodologiczną.

Co mówi RODO o zawiadamianiu osób

RODO przewiduje dwa odrębne obowiązki po naruszeniu ochrony danych. Pierwszy to zgłoszenie naruszenia do organu nadzorczego „bez zbędnej zwłoki” na podstawie art. 33 — dotyczy on większości incydentów, chyba że jest mało prawdopodobne, by powodowały ryzyko naruszenia praw lub wolności osób. Drugi to zawiadomienie osoby, której dane dotyczą, wynikające z art. 34 — i uruchamia się wtedy, gdy naruszenie może powodować wysokie ryzyko dla jej praw lub wolności. Granica nie biegnie po liczbie osób ani po liczbie omyłkowych odbiorców, lecz po realnym zagrożeniu: im bardziej wrażliwe lub „użyteczne do podszycia się” są dane, tym szybciej zbliżamy się do progu wysokiego ryzyka, który nakazuje poinformować osobę. W praktyce to zawiadomienie powinno być konkretne i pomocne: opisać, co się stało, jakie mogą być konsekwencje, jakie środki wdrożono oraz co dana osoba powinna rozważyć.

Jak sądy „przetłumaczyły” tę zasadę

WSA zaakcentował, że samo „teoretyczne” ryzyko to za mało, jeśli incydent jest jednostkowy. NSA dodał jednak ważny element: siła rażenia. Nawet jednorazowe ujawnienie do jednego odbiorcy może tworzyć wysokie ryzyko, jeśli charakter danych sprzyja nadużyciom lub otwiera drogę do poważnych konsekwencji. To przesuwa punkt ciężkości z suchej statystyki na perspektywę osoby — co może ją realnie spotkać, jeśli dane trafią w niepowołane ręce.

Finalna ocena NSA

Naczelny Sąd Administracyjny przesądził, że przy ocenie obowiązku z art. 34 RODO nie wystarczy chłodny rachunek prawdopodobieństwa. Równie istotna jest waga potencjalnych skutków dla osoby, której dane dotyczą. Zestaw tak podstawowych identyfikatorów jak imię i nazwisko wraz z numerem PESEL może sam w sobie generować wysokie ryzyko, nawet gdy incydent dotyczy pojedynczej osoby i jednego omyłkowego adresata. NSA nie wymaga dowodu faktycznych nadużyć ani już zaistniałej szkody — wystarczy racjonalnie przewidywalna możliwość poważnych konsekwencji, by uruchomić obowiązek zawiadomienia. Uchylenie wyroku WSA i przekazanie sprawy do ponownego rozpoznania wyznacza praktyczny standard: administrator ma prowadzić holistyczną, „skutkocentryczną” ocenę ryzyka, a gdy próg „wysokiego” jest osiągnięty, powinien poinformować osobę w sposób szybki i pomocny.

Co z tego wynika dla administratorów i IOD-ów

Ta sprawa porządkuje sposób myślenia o tzw. „incydentach mailowych”- „tylko jedna osoba” i „pomyłkowy adresat” nie wyłączają automatycznie wysokiego ryzyka. Kluczowe jest, jakie dane „wyszły” i do kogo. Jeżeli w pakiecie jest PESEL, dane finansowe albo informacje ułatwiające weryfikację tożsamości, sensowne jest domniemanie podwyższonego ryzyka i poważne rozważenie zawiadomienia osoby. Dokumentując ocenę, warto pokazać nie tylko rachunek prawdopodobieństwa, ale i możliwą skalę szkody, a także konkretne środki zaradcze. Równolegle techniczne minimum — szyfrowanie załączników, weryfikacja adresatów, DLP i szkolenia — to nie „drobiazgi”, tylko dowód należytej staranności, który później broni się przed organem i sądem.

Podsumowanie: standard „prawda czasu, prawda człowieka”

Po tym orzeczniczym ping-pongu wniosek jest praktyczny i przyjazny dla zdrowego rozsądku. Trzeba zważyć, jak dotkliwe mogą być skutki dla konkretnej osoby. Gdy potencjalne konsekwencje są poważne, zawiadomienie nie jest tylko obciążeniem, lecz elementem odpowiedzialnego postępowania — daje ludziom narzędzia, by się chronić, a administratorowi buduje wiarygodność i redukuje ryzyko prawne.