W wyroku z 6 marca 2026 r. (sygn. III OSK 377/23) Naczelny Sąd Administracyjny potwierdził, że obowiązek zawiadomienia o naruszeniu ochrony danych osobowych powstaje już na etapie samego ryzyka, a nie dopiero po stwierdzeniu faktycznego wykorzystania danych. Sprawa dotyczyła dużego banku, który nie poinformował osób, których dane mogły zostać ujawnione o możliwym naruszeniu, mimo istnienia realnego zagrożenia.
Wyrok NSA w sprawie naruszenia danych w banku
Incydent wynikał z pozostawienia byłemu pracownikowi banku aktywnego dostępu do systemu PUE ZUS. Osoba ta mogła przeglądać dane innych pracowników, w tym numery PESEL, adresy oraz informacje o stanie zdrowia. W trakcie postępowania wykazano, że osoba ta logowała się do systemu pięciokrotnie w ciągu ośmiu miesięcy po ustaniu zatrudnienia, co potwierdzało, że dostęp nie miał charakteru incydentalnego i był faktycznie wykorzystywany w postaci logowania do systemu.
Kiedy administrator musi zawiadomić o naruszeniu danych
Administrator zgłosił naruszenie do Prezesa UODO z ostrożności. Uznał jednak, że incydent nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych i nie zawiadomił osób, których dane dotyczą. Jedynie na wewnętrznej platformie banku został opublikowany komunikat, który miał charakter informacyjny i przypominający zasady przetwarzania danych osobowych, nie odnoszący się bezpośrednio do zaistniałego incydentu.
Kara Prezesa UODO za brak powiadomienia osób
Prezes UODO uznał jednak, że taka sytuacja wiąże się z wysokim ryzykiem naruszenia praw osób fizycznych i nałożył na bank karę finansową.
NSA: samo ryzyko uruchamia obowiązek informacyjny
NSA podzielił tę ocenę, wskazując, że już sama możliwość dostępu do danych przez osobę nieuprawnioną uruchamia obowiązek informacyjny. Dla pracodawców oznacza to konieczność szczególnej dbałości o zarządzanie uprawnieniami pracowników oraz szybkiego reagowania na incydenty, nawet jeśli nie ma dowodów na faktyczne wykorzystanie danych.
