W decyzji DKN.5131.17.2024 z dnia 23 października 2025 r., Prezes UODO nałożył na komornika sądowego karę w łącznej wysokości 20 900 zł, w tym w kwocie 7 700 zł za niezgłoszenie naruszenia ochrony danych osobowych do organu nadzorczego oraz
w wysokości 13 200 zł, za to, że nie zawiadomił on o naruszeniu, osoby, której dane dotyczą.
Prezes UODO otrzymał informację dotyczącą możliwości wystąpienia naruszenia ochrony danych osobowych u pewnego administratora, który był komornikiem. Naruszenie to polegało na tym,
że nieuprawniony odbiorca otrzymał dokumenty z danymi innej osoby. To właśnie ten nieuprawniony odbiorca poinformował organ, że przez pomyłkę otrzymał dane innej osoby obejmujące imię i nazwisko, PESEL, adres zamieszkania, rok urodzenia i kwoty zajęcia procesu komorniczego.
W toku sprawy, administrator nie przedstawił analizy ryzyka naruszenia praw lub wolności osoby objętej naruszeniem, ograniczając się jedynie do dokonania analizy zdarzenia i stwierdzenia,
że było ono jednostkowe i że jest mało prawdopodobne, by ten incydent skutkował ryzykiem naruszenia praw lub wolności podmiotu danych. W rezultacie, Prezes UODO uznał, że administrator nie przeprowadził analizy ryzyka.
Administrator w swoich wyjaśnieniach do urzędu wskazywał, że nieuprawniony odbiorca otrzymał dokumenty dotyczące wyłącznie jednej osoby, zawierające jej dane osobowe i informacje
o postępowaniu egzekucyjnym. W ramach analizy incydentu, administrator sprawdził treść korespondencji, poprawność wysyłki oraz tożsamość, świadomość prawną i nastawienie do sprawy osoby trzeciej, do której trafiły nieprzeznaczone dla niej dane osobowe.
Ustalenia Prezesa UODO potwierdziły, że w kancelarii doszło do pomyłki. W przypadku tego incydentu, administrator uznał, że mało prawdopodobne jest, by skutkował on naruszeniem praw lub wolności osoby, której dane dotyczą. Postępowanie organu wykazało, że taka ocena komornika była jednak bezpodstawna, bo ten nie przeprowadził wymaganej przepisami analizy ryzyka.
Prezes UODO podkreślił w decyzji, że takie wyjaśnienia administratora są niewystarczające, bo kluczowe jest przeprowadzenie prawidłowej analizy ryzyka przed podjęciem decyzji o braku zawiadomienia organu nadzorczego i osoby, której dane dotyczą.
Poza tym, według organu, prawidłowa analiza ryzyka dla sytuacji, w której korespondencja zawierająca taki zakres danych osobowych została wysłana do niewłaściwego adresata, wskazywałaby na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
Taki stan rzeczy oznacza konieczność poinformowania Prezesa UODO i osoby, której dane dotyczą o naruszeniu – dlatego też, została nałożona na administratora ww. kara finansowa.
Podsumowując – należy pamiętać, że administrator ma obowiązek zgłosić naruszenie ochrony danych do organu nadzorczego bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od momentu jego stwierdzenia, chyba że jest mało prawdopodobne, by takie naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób. Przy tym, jeśli ryzyko jest wysokie, należy także niezwłocznie powiadomić
o naruszeniu osobę, której dane dotyczą.
Obowiązki administratora zależą od poziomu ryzyka, a brak ryzyka oznacza jedynie konieczność udokumentowania wystąpienia incydentu – dlatego tak istotne jest przeprowadzenie analizy ryzyka.
W tej sprawie administrator nie przeprowadził prawidłowej analizy ryzyka – co doprowadziło do jego niezgodności z przepisami dotyczącymi ochrony danych osobowych.
