NGO.slask.pl

STOWARZYSZENIE jestem stowarzyszeniem

0

Nieprawidłowości w postępowaniu egzekucyjnym – zapytanie do UODO

8 sierpnia, 2025 Autor STOWARZYSZENIE jestem stowarzyszeniem Wyłączony

W dniu 31.07.2025 r. wysłaliśmy zapytanie do UODO o poniższej treści:

  1. Czy przetwarzanie danych osobowych w celu ustalenia nieprawidłowego adresu do korespondencji (w celu doręczenia na nieprawidłowy adres decyzji, tytułu wykonawczego) jest zgodne z RODO?
  2. Jakie konsekwencje grożą instytucji, w której doszło do takiego zdarzenia?
  3. Czy pracownik nieprawidłowo korzystający z bazy danych osobowych ponosi za to odpowiedzialność?
  4. Czy nie usunięcie skutków nieprawidłowego przetwarzania danych rości za sobą konsekwencje wobec instytucji, która się tego dopuściła? jeśli tak – to jakie?

W dniu 06.08.2025 r. na wniosek UODO uzupełniliśmy zapytanie:

Opis stanu faktycznego:

W celu wysyłki prawidłowo zaadresowanego pisma na inny adres przetwarzano dane zgromadzone dane niezgodnie z procesem wynikającym z podejmowania decyzji / działań przez instytucję, to jest analiza archiwalnych wpisów w bazie w celu ustalenia nieprawidłowego adresu. W wyniku czego prawidłowo sporządzone pismo zostało wysłane nie dość że na nieprawidłowy adres, to poza jurysdykcję danej placówki.

W późniejszym terminie instytucja pisemnie potwierdziła wysyłkę na nieprawidłowy adres, mimo posiadania właściwego.

Doprecyzowanie pytań:

1. Czy przetwarzanie danych osobowych w celu ustalenia nieprawidłowego adresu do korespondencji (w celu doręczenia na nieprawidłowy adres decyzji, tytułu wykonawczego) jest zgodne z RODO – to jest przetwarzanie zgromadzonych danych poprzez przeglądanie archiwalnych rejestrów zgłoszeń w celu ustalania nieprawidłowego adresu do doręczeń, mimo posiadania prawidłowych danych?

W dniu 07.08.2025 r. otrzymaliśmy od rzecznika prasowego UODO P. Karola Witkowskiego odpowiedź o treści:

W odpowiedzi na Pana e-mail informuję, że  ogólne rozporządzenie o ochronie danych osobowych (RODO) nakłada na administratora szereg obowiązków, w tym obowiązek wynikający z art. 5 ust. 1 pkt d RODO, zgodnie z którym dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; administrator powinien podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”).

W kontekście Pana zapytania wskazuję również, że osoba, której dane są przetwarzane ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe (art. 16 RODO) oraz żądania od administratora ograniczenia przetwarzania w przypadku, gdy kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych (art. 18 ust. 1 pkt a RODO).

Jeżeli nieprawidłowość przetwarzania doprowadzi do naruszenia ich poufności (np. poprzez wysłanie korespondencji na nieprawidłowy adres lub do nieprawidłowego adresata) administrator ma obowiązek zgłoszenia naruszenia do prezesa RODO, i w razie spełnienia określonych warunków, zawiadomić osoby, których dane zostały naruszone.

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Zatem z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. 

To, co powinien zrobić administrator w przypadku, gdy dane osobowe trafią do osoby nieuprawnionej zależy od okoliczności tego zdarzenia. W sytuacji gdy to pracownik dopuści się naruszenia to wówczas odpowiedzialność z punktu widzenia przepisów RODO ponosi pracodawca, jako administrator. Natomiast pracodawca może wyciągnąć konsekwencje od pracownika na zasadach odpowiedzialności pracowniczej określonej w Kodeksie Pracy.

Zgodnie z art. 33 ust. 1 RODO, administrator musi najpierw dokonać oceny, czy do naruszenia ochrony danych osobowych faktycznie doszło. Jeśli w wyniku przeprowadzonych czynności wyjaśniających administrator stwierdzi, że do takiego naruszenia doszło, wówczas ocenia, czy istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeśli tak, to nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzoru.

Jeżeli w wyniku naruszenia może powstać wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas art. 34 ust. 1 RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji bez zbędnej zwłoki poinformował również osoby, których te dane dotyczą. Przykładowo udostępnienie takich danych jak imię i nazwisko, adres, nr PESEL lub inne może rodzić wysokie ryzyko naruszenia praw osoby/osób, których dane zostały naruszone np. narazić je na utratę prywatności, kradzież tożsamości, zaciągnięcie niekorzystnych zobowiązań finansowych itp. Jeśli dodatkowo doszło (albo mogło dojść) do zapoznania się z korespondencją przez osobę nieuprawnioną to dodatkowo mamy do czynienia z naruszeniem (lub możliwością naruszenia) tajemnicy korespondencji (dobro osobiste), co potęguje wysokie ryzyko naruszenia praw tej osoby. Dlatego administrator powinien poinformować osobę/osoby, których dane dotyczą, o tym naruszeniu.

Mają one wówczas możliwość podjęcia odpowiednich środków zaradczych i skorzystania ze swoich praw, jak np. z prawa skargi do organu nadzorczego (art. 77 RODO), z prawa do wystąpienia do sądu o odszkodowanie za naruszenie swoich praw wynikających z RODO (art. 82 RODO), czy też prawa do zastrzeżenia nr PESEL.

Więcej informacji na temat naruszeń ochrony danych osobowych może Pan uzyskać w zaktualizowanej wersji poradnika UODO pn. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych” – https://uodo.gov.pl/pl/138/3561

Odpowiadając na pytanie o ewentualne konsekwencje naruszenia informuję, że za nieprzestrzeganie zasad określonych w RODO administrator ponosi odpowiedzialność (art. 58 ust. 2 RODO). Co istotne, kary finansowe (art. 83 RODO) to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie prawa. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być bowiem m.in. udzielone upomnienie, wydany nakaz dostosowania określonych działań do obowiązujących przepisów, czy w kontekście Pana zapytania nakazanie na mocy art. 16, 17 i 18 sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania.

Kategoriazłożone zapytania i wnioski

©2025 - 2026
STOWARZYSZENIE
jestem stowarzyszeniem