Ujawnienie numeru PESEL nie musi oznaczać wysokiego ryzyka np. zaciągnięcia pożyczki – uznał sąd, uchylając karę finansową nałożoną przez UODO

Urząd Ochrony Danych Osobowych od lat konsekwentnie uznaje, że wyciek numeru PESEL wiąże się z wysokim ryzykiem dla praw i wolności osób fizycznych. Skutki tego są dwa - po pierwsze organ uważa, że w zasadzie każdy taki incydent musi być zgłoszony nie tylko jemu, ale również osobie, do której należy PESEL. Po drugie takie podejście wiąże się również z oceną samego naruszenia i ma wpływ na wymierzanie kar finansowych.
W wyroku, którego uzasadnienie na wniosek DGP właśnie udostępniono, sąd polemizuje z tym podejściem. Zwraca uwagę, że hipotetyczne zagrożenia, takie jak wzięcie pożyczki czy możliwość podszycia się pod właściciela numeru PESEL, nie zostały wykazane. Sprawę ostatecznie rozstrzygnie Naczelny Sąd Administracyjny, gdyż prezes UODO wniósł już skargę kasacyjną. Utrzymanie wyroku oznaczałoby bowiem rewolucję w ocenie zagrożenia jednego z najczęściej spotykanych wycieków.

Zły odbiorca e-maila

Spór dotyczył stosunkowo często spotykanego naruszenia, czyli wysłania korespondencji do niewłaściwego adresata. Pośrednik ubezpieczeniowy przesłał e-maila z kalkulacją dotyczącą ubezpieczenia domu do złego odbiorcy. W niezaszyfrowanej wiadomości widniały dane klienta takie jak imię i nazwisko, kod pocztowy i właśnie PESEL oraz symulacje kilku ubezpieczycieli. Pośrednik powiadomił o swoim błędzie prezesa UODO, podobnie zrobiła większość ubezpieczycieli, których oferty widniały w e-mailu. Zgłoszenia takiego nie dokonało natomiast Sopockie Towarzystwo Ubezpieczeń ERGO Hestia, uznając na podstawie własnej analizy, że ryzyko związane z tym wyciekiem nie jest duże oraz, że podjęło wystarczające kroki, by mu zapobiec. Odebrało bowiem od odbiorcy danych oświadczenie, w którym potwierdził on, że usunął błędnie zaadresowanego e-maila bez zapoznawania się z zawartością załącznika.
Prezes UODO uznał, że Hestia była zobowiązana zarówno do powiadomienia go o naruszeniu, jak i przekazania takiej informacji klientowi, którego dane trafiły do niewłaściwej skrzynki. Za brak tych powiadomień nałożył karę niespełna 160 tys. zł. Wojewódzki Sąd Administracyjny w Warszawie uchylił ją jednak.
Sąd przyznał, że doszło do naruszenia ochrony danych przez sam fakt, że trafiły one na e-mail osoby uprawnionej i nie ma znaczenia, czy osoba ta zapoznała się z nimi, czy też nie. Podobnie zgodził się z prezesem UODO, że administrator (czyli Hestia) był zobowiązany do powiadomienia organu o tym naruszeniu, bo ryzyko naruszenia praw lub wolności osoby, której dane zostały ujawnione, nie można uznać za małe.
Jednocześnie jednak sąd uznał, że nie było one wysokie, a tylko przy takim administrator jest zobowiązany poinformować o naruszeniu samego zainteresowanego. Ta część rozważań jest najciekawsza, bo idzie pod prąd wieloletniej praktyce prezesa UODO. Wyrok stwierdza bowiem, że samo przejęcie przez kogoś numeru PESEL, nawet w połączeniu z imieniem i nazwiskiem czy kodem pocztowym nie stanowi automatycznie dużego zagrożenia dla właściciela danych. Co więcej, te same dane osób zasiadających we władzach spółek są publicznie dostępne w Krajowym Rejestrze Sądowym i nie są przecież wykorzystywane do kradzieży tożsamości.

Zabrakło dowodów

UODO wśród zagrożeń związanych z wyciekiem numeru PESEL wraz z imieniem i nazwiskiem wskazuje m.in.:
■ ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.);
■ uzyskanie przez osoby trzecie pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem (np. przez internet, bez konieczności okazywania dokumentu tożsamości);
■ uzyskanie przez osoby trzecie dostępu do systemów obsługujących udzielanie świadczeń medycznych osoby dotkniętej naruszeniem (niekiedy tożsamość potwierdza się za pomocą numeru PESEL);
■ próby zawarcia umów cywilnoprawnych na szkodę osoby, której dane przejęto.
Zapytaliśmy UODO, czy znane są mu rzeczywiste przypadki, w których doszło do wskazywanych sytuacji, ale nie uzyskaliśmy odpowiedzi. Sąd w swym wyroku uznał, że organ nie udowodnił, by ryzyko to było realne.
„Organ nie wykazał przekonywająco, że w praktyce jest możliwe, np. legalne zaciąganie zobowiązań wyłącznie na podstawie danych obejmujących imię i nazwisko oraz numer PESEL oraz miejscowość i kod pocztowy, ani że na podstawie takich danych można również zawrzeć umowy pożyczki, nawet w instytucjach pozabankowych czy parabankowych, za pośrednictwem internetu lub telefonicznie. Wątpliwe, bo niepotwierdzone konkretnymi dowodami wydają się również stwierdzenia organu, że dysponowanie samymi danymi osobowymi, obejmującymi imię i nazwisko oraz numer PESEL pozwala, np. na wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem” - można przeczytać w uzasadnieniu wyroku uchylającego decyzję nakładającą karę pieniężną.
Formalnym powodem rozstrzygnięcia było niedostateczne wyjaśnienie w uzasadnieniu decyzji powodów, dla których prezes UODO uznał, że wyciek danych spowodował wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jedynie prawidłowo sporządzone uzasadnienie daje możliwość merytorycznej weryfikacji decyzji w postępowaniu sądowym, w toku którego nie jest już możliwe uzupełnienie przeprowadzonego postępowania administracyjnego o stosowną argumentację prawną.

Indywidualne podejście

Przynajmniej część organów ochrony danych z innych państw nie traktuje wycieku numerów będących odpowiednikiem polskiego systemu PESEL jako sytuacji automatycznie powodującej wysokie ryzyko naruszenia praw. UODO podkreśla jednak specyfikę polskiej numeracji, z której można chociażby wyczytać datę urodzenia, co dodatkowo zwiększa zbiór danych, jakimi dysponuje potencjalny złodziej tożsamości.
Branża ubezpieczeniowa na razie nie chce komentować wyroku ani dotychczasowej praktyki. - Zależy nam na jednolitym podejściu do kwestii ochrony danych osobowych, dlatego wszelkie dyskusje zmierzające w kierunku ujednolicenia praktyk są przez nas analizowane. Natomiast stanowczo za wcześnie na jakiekolwiek konkretne stanowiska z naszej strony - odpowiedział na nasze pytania Marcin Tarczyński z Polskiej Izby Ubezpieczeń.
Część prawników przekonuje, że wyciek numeru PESEL nie stwarza aż tak dużego zagrożenia, jak się powszechnie uważa. Doktor Paweł Litwiński, adwokat z Kancelarii Barta Litwiński, w artykule „Naruszenia bezpieczeństwa danych osobowych obejmujące numer PESEL - analiza ryzyka” przeanalizował prawdopodobieństwo wystąpienia kradzieży tożsamości. Bazując na ankietach badawczych o 815 naruszeniach bezpieczeństwa, danych o naruszeniach zgłoszonych UODO oraz informacjach pozyskanych z policji oszacował, że prawdopodobieństwo wykorzystania numeru PESEL do przestępstw związanych z kradzieżą tożsamości wynosi nie więcej niż 0,17 proc. Zdaniem autora badania dane te świadczą o tym, że nie można automatycznie każdego wycieku numeru PESEL uznawać za stwarzający duże ryzyko.
„Jednocześnie jednak teza zakładająca, że co do zasady naruszenia poufności danych osobowych obejmujące numer PESEL nie powodują powstania wysokiego ryzyka dla praw i wolności osób, których dane dotyczą, również będzie tezą błędną - po prostu oceny ryzyka należy dokonywać z uwzględnieniem realiów konkretnego przypadku” - napisał dr Litwiński w swej publikacji. ©℗
Czego boją się Polacy? / Dziennik Gazeta Prawna - wydanie cyfrowe

orzecznictwo

Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 19 kwietnia 2022 r., sygn. akt II SA/Wa 3024/21 www.serwisy.gazetaprawna.pl/orzeczenia