NSA ostrzega: niezaszyfrowany e-mail z danymi osobowymi to zagrożenie

Prezes UODO we wrześniu 2021 r. nałożył na Towarzystwo Ubezpieczeniowe Ergo Hestia SA karę w wysokości 159 176 zł za niezgłoszenie naruszenia ochrony danych osobowych oraz niepowiadomienie osoby nim dotkniętej. Chodziło o wysyłkę do niewłaściwego adresata maila z niezaszyfrowanym załącznikiem zawierającym ofertę ubezpieczeniową, w której znajdowały się dane osobowe (m.in. imię, nazwisko oraz numer PESEL) oraz informacje finansowe.

Spółka odwołała się do Wojewódzkiego Sądu Administracyjnego w Warszawie, który uchylił decyzję prezesa UODO. Zdaniem WSA organ nie wykazał prawdopodobieństwa, że na skutek spornego zdarzenia mogły wystąpić negatywne konsekwencje dla osoby, której dane wyciekły.

Prezes UODO wniósł skargę kasacyjną, a NSA stwierdził, że zasługuje ona na uwzględnienie. Sąd uznał bowiem, że nie może być wątpliwości, że zdarzenie, które miało miejsce w niniejszej sprawie, może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Jego skutkiem mogło bowiem być ujawnienie danych osobowych w postaci numeru PESEL w powiązaniu z imieniem i nazwiskiem oraz innymi danymi osobowymi.

Ujawnienie numeru PESEL

Jak podkreślił NSA, ujawnienie numeru PESEL wiąże się z różnymi ryzykami, które mogą skutkować poważnymi konsekwencjami dla posiadacza tego identyfikatora. Jednym z najpoważniejszych zagrożeń jest kradzież tożsamości. W połączeniu z innymi danymi osobowymi, takimi jak imię, nazwisko, numer dowodu osobistego czy adres zamieszkania (niekoniecznie wszystkimi w każdym przypadku), nr PESEL może zostać wykorzystany np. do zaciągnięcia kredytu lub pożyczki, zawarcia umowy na usługi telekomunikacyjne, wyłudzenia świadczeń socjalnych czy podszycia się pod konkretną osobę w sprawach dotyczących życia codziennego.

Orzecznictwo

Wyrok Naczelnego Sądu Administracyjnego z 1 października, sygn. akt III OSK 1830/22