Prezes Urzędu Ochrony Danych Osobowych nałożył prawie 21 tys. zł kary na komornika sądowego, który nie zgłosił naruszenia ochrony danych osobowych i nie powiadomił osoby, której dane wyciekły. Sprawa stała się dla UODO pretekstem do ponownego wyjaśnienia, jak rozumieć pojęcie „mało prawdopodobnego ryzyka” przy ocenie obowiązku zgłaszania incydentów.

Pomyłka przy zajęciu wynagrodzenia

Do naruszenia doszło, gdy komornik omyłkowo wysłał pismo o zajęciu wynagrodzenia do niewłaściwej osoby. W liście znalazły się m.in. imię i nazwisko, numer PESEL, adres oraz kwota zajęcia komorniczego – pełen pakiet danych pozwalających jednoznacznie zidentyfikować dłużnika i jego sytuację finansową.

Nieuprawniony odbiorca korespondencji poinformował zarówno komornika, jak i UODO o pomyłce. Jednocześnie wyraził obawę, że również jego dane mogły trafić do kogoś innego, jeśli w kancelarii doszło do zamiany kopert.

Polecane artykuły

Jest decyzja NSA w sprawie kary dla Santander Bank Polska

10.03.2026

Skuteczna skarga kasacyjna Prezesa UODO w sprawie spółek Fortum i Pika

03.03.2026

Mimo tego sygnału komornik nie zgłosił naruszenia Prezesowi UODO i nie powiadomił osoby, której dane faktycznie wyciekły.

21 tys. zł kary i nakaz natychmiastowego zawiadomienia

W decyzji z 23 października 2025 r. Prezes UODO Mirosław Wróblewski nałożył na komornika sądowego administracyjną karę pieniężną w łącznej wysokości niemal 21 tys. zł:

Polecane artykuły

Wyrok WSA: firmy mogą pobierać "opłatę" od klientów w formie ich danych osobowych lub zgód marketingowych

25.02.2026

Kary UODO dla Fundacji Lumus za systemowe naruszenia ochrony danych

25.02.2026

• 7700 zł za brak zgłoszenia naruszenia organowi nadzorczemu bez zbędnej zwłoki,
• 13 200 zł za brak zawiadomienia osoby, której dane dotyczyły.

Dodatkowo UODO nakazał komornikowi niezwłocznie powiadomić osobę, której dane znalazły się w niewłaściwych rękach.

„Mało prawdopodobne ryzyko”? UODO: to musi być de facto brak ryzyka

Komornik tłumaczył, że nie zgłosił incydentu, ponieważ uznał, iż zachodzi „małe prawdopodobieństwo”, że naruszenie doprowadzi do szkody po stronie osoby, której dane dotyczą. Argumentował, że:

• pomyłka była jednostkowa wśród tysięcy wysyłanych pism,
• nieuprawniony odbiorca potraktował sprawę poważnie i poinformował o niej organ oraz kancelarię,
  co - w ocenie administratora - miało ograniczać ryzyko dla osoby, której dane wyciekły.

Prezes UODO uznał, że takie podejście jest błędne z dwóch powodów:

• administrator w ogóle nie przeprowadził rzetelnej analizy ryzyka przed podjęciem decyzji,
• błędnie rozumiał próg „mało prawdopodobnego ryzyka”.

W decyzji podkreślono, że „mało prawdopodobne” w rozumieniu RODO (ang. unlikely) oznacza sytuację, w której materializacja skutków naruszenia jest w praktyce niemal niemożliwa. Innymi słowy - mówimy raczej o braku realnego ryzyka, a nie o „niewielkim, ale jednak istniejącym” zagrożeniu.

PESEL, wyłudzenia i realne konsekwencje

Kluczowy dla oceny sytuacji był zakres wyciekłych danych – w tym numer PESEL. UODO przypomniał, że w polskich warunkach PESEL pozostaje jednym z głównych danych wykorzystywanych przy próbach wyłudzeń kredytów i pożyczek.

W decyzji powołano się na dane z raportu infoDOK, z których wynika, że:

• tylko w IV kwartale 2024 r. odnotowano 2661 prób wyłudzeń kredytów i pożyczek na 80 mln zł,
• w całym 2024 r. – 12 331 prób na łączną kwotę 324,2 mln zł,
• podobny poziom prób wyłudzeń utrzymywał się również w 2023 r.

Przy takim tle statystycznym organ uznał, że wysłanie listu z danymi osobowymi, w tym numerem PESEL, do nieuprawnionego odbiorcy generuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. To z kolei automatycznie uruchamia obowiązek:

• zawiadomienia osoby, której dane dotyczą (art. 34 RODO).
• zgłoszenia naruszenia do UODO (art. 33 RODO),

Analiza ryzyka - najpierw, a nie „po fakcie”

Prezes UODO zwrócił uwagę, że administrator nie może zaczynać od decyzji „nie zgłaszam”, a dopiero później dorabiać do niej uzasadnienie. Kolejność powinna być odwrotna:

1. najpierw rzetelna analiza ryzyka,
2. dopiero potem decyzja, czy incydent zgłaszać organowi i zawiadamiać osoby.

W decyzji wskazano, że przy ocenie należy łącznie uwzględnić dwa czynniki:

• prawdopodobieństwo materializacji skutków,
• wagę potencjalnych konsekwencji dla osoby, której dane wyciekły.

Wysoka waga skutków (np. możliwość wyłudzenia kredytu, szkoda finansowa, naruszenie dobrego imienia) może sama w sobie oznaczać konieczność zgłoszenia, nawet jeśli prawdopodobieństwo wydaje się umiarkowane.

Rola wytycznych EROD i praktyka UODO

UODO przypomniał, że przy ocenie sytuacji administratorzy powinni korzystać z Wytycznych Europejskiej Rady Ochrony Danych 9/2022 dotyczących zgłaszania naruszeń na podstawie RODO. Z dokumentu wynika jasno: zgłoszenie naruszenia organowi nadzorczemu jest obowiązkowe, chyba że incydent najprawdopodobniej nie będzie wiązał się z ryzykiem naruszenia praw lub wolności osób fizycznych.

W praktyce oznacza to bardzo niski próg dla „braku zgłoszenia” - administrator musi być w zasadzie pewien, że żadne realne negatywne konsekwencje nie wystąpią.

Sprawa komornika wpisuje się w szerszy trend decyzji UODO, w których organ regularnie karze administratorów za brak zgłoszenia naruszenia i brak zawiadomienia osób - wcześniej dotyczyło to m.in. banków, ubezpieczycieli, prokuratury czy uczelni.

Sygnal dla rynku: brak zgłoszenia to wysokie ryzyko... kary

Sprawa komornika sądowego to kolejny sygnał, że Prezes UODO bardzo poważnie traktuje obowiązek zgłaszania naruszeń oraz zawiadamiania osób, których dane dotyczą. Administratorzy, którzy uznają incydent za „mało groźny” bez przeprowadzenia formalnej analizy ryzyka, muszą liczyć się nie tylko z krytyczną oceną organu, ale też z dotkliwą sankcją finansową.

W praktyce wnioski są proste: przy wycieku danych - zwłaszcza obejmujących PESEL - domyślną reakcją powinno być zgłoszenie naruszenia do UODO i zawiadomienie osób, których dane dotyczą, a nie odwrotnie.