Obowiązek informacyjny rodo
Kraj:
Polska
Data wydania decyzji:
23.10.2025 r.
Podmiot kontrolowany:
Komornik Sądowy przy Sądzie Rejonowym w S. B. F.
Wysokość kary (EUR):
4.935
Art. 33 ust. 1, 34 ust. 1 i 2 RODO.
Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.
Bezpośrednią przyczyną incydentu była omyłkowa wysyłka korespondencji. Pracownik kancelarii komorniczej wysłał list zawierający dane jednej osoby (m.in. imię i nazwisko, adres, numer PESEL i kwotę zajęcia wynagrodzenia) do innego adresata. Po otrzymaniu sygnału o incydencie komornik ograniczył się do stwierdzenia, że to „jednostkowy przypadek” i nie przeprowadził formalnej analizy ryzyka. Zaniechał również zgłoszenia naruszenia organowi nadzorczemu i powiadomienia osoby, której dane dotyczyły. Brak procedur weryfikacji korespondencji oraz niewywiązywanie się z obowiązków notyfikacyjnych spowodowały, że incydent został oceniony przez UODO jako poważne naruszenie przepisów RODO.
Omyłkowa wysyłka poufnych danych: W październiku 2023 r. kancelaria komornicza wysłała do niewłaściwej osoby list dotyczący egzekucji z wynagrodzenia innego dłużnika. Korespondencja zawierała dane takie jak imię i nazwisko, adres zamieszkania, datę urodzenia, numer PESEL i wysokość zajęcia. Nieuprawniony odbiorca, zaniepokojony zakresem informacji, powiadomił komornika o pomyłce.
Brak zgłoszenia i oceny ryzyka: Mimo że ujawnione dane umożliwiały jednoznaczną identyfikację osoby i potencjalnie narażały ją na kradzież tożsamości, komornik nie zgłosił naruszenia Prezesowi UODO w wymaganym 72‑godzinnym terminie i nie zawiadomił osoby, której dane ujawniono. W piśmie z lutego 2024 r. komornik stwierdził jedynie, że zdarzenie było jednostkowe i uznał, że ryzyko naruszenia praw osoby poszkodowanej jest „mało prawdopodobne”, nie przedstawiając jednak rzetelnej analizy ryzyka.
Działania UODO: 21 listopada 2023 r. i 19 lutego 2024 r. Prezes UODO zwrócił się do komornika o wyjaśnienia. Ostatecznie 7 listopada 2024 r. organ nadzorczy wszczął z urzędu postępowanie administracyjne w sprawie naruszenia art. 33 i 34 RODO. Komornik potwierdził, że w przesyłce znajdowały się dane tylko jednej osoby: imię i nazwisko, adres, data urodzenia, numer PESEL, wysokość długu i informacje o postępowaniu egzekucyjnym.
Ustalenia organu nadzorczego i decyzja: UODO uznał, że brak jest dowodów na przeprowadzenie analizy ryzyka, a ujawnienie numeru PESEL wraz z innymi danymi generuje wysokie ryzyko kradzieży tożsamości, co wymaga zgłoszenia naruszenia organowi nadzorczemu i powiadomienia osoby poszkodowanej. W konsekwencji Prezes UODO stwierdził naruszenie art. 33 ust. 1 RODO i art. 34 ust. 1–2 RODO oraz nałożył na komornika kary pieniężne w wysokości 7 700 zł i 13 200 zł a także zobowiązał go do powiadomienia osoby, której dane ujawniono.
Pełna treść decyzji organu nadzorczego
Przeprowadzanie rzetelnej analizy ryzyka: Przed podjęciem decyzji o zgłoszeniu lub jego braku każdorazowo dokumentuj ocenę ryzyka naruszenia praw i wolności osób.
Terminowe zgłaszanie naruszeń: Przy najmniejszej wątpliwości co do ryzyka zgłaszaj naruszenie organowi nadzorczemu niezwłocznie, nie później niż w ciągu 72 godzin.
Powiadamianie osób, których dane dotyczą: W przypadku wysokiego ryzyka poinformuj poszkodowane osoby prostym językiem, podając charakter naruszenia, możliwe konsekwencje oraz działania naprawcze.
Weryfikacja korespondencji: Wprowadź procedury wielostopniowej kontroli przed wysyłką dokumentów. Stosuj zasadę „czterech oczu” i systemy monitorujące poprawność adresowania.
Szkolenia i świadomość pracowników: Regularnie szkol pracowników w zakresie ochrony danych osobowych, obowiązków notyfikacyjnych i postępowania w sytuacjach incydentów.
Wzmacnianie technicznych i organizacyjnych środków ochrony: Numer PESEL i inne dane identyfikacyjne wymagają szczególnej ochrony, więc stosuj środki ograniczające dostęp, szyfrowanie oraz pseudonimizację danych.
Prowadzenie rejestru naruszeń: Dokumentuj wszystkie incydenty i podjęte działania, gdyż ułatwia to wykazanie zgodności z zasadą rozliczalności i może chronić przed karami.