przejdź
przejdź
  2. Serwis Prawny
  3. Ochrona danych
  4. Zgubiona przesyłka z danymi osobowymi – kto odpowiada?

Zgubiona przesyłka z danymi osobowymi – kto odpowiada?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Zgubiona przesyłka z danymi osobowymi w erze wszechobecnej cyfryzacji może brzmieć dość abstrakcyjnie, jednak w praktyce gospodarczej nie są to przypadki rzadkie. W dalszym ciągu wiele spraw administracyjnych i sądowych załatwia się na podstawie dokumentacji papierowej, co oznacza, że Poczta Polska i firmy kurierskie mają mnóstwo pracy. Brak odpowiedniej staranności po stronie doręczycieli nierzadko prowadzi do zagubienia korespondencji lub jej błędnego dostarczenia. W każdym z tych przypadków dochodzi do naruszenia zasad ochrony informacji, co rodzi pytania o to, kto ostatecznie odpowiada przed UODO za zaistniałą sytuację.

Czy każda utrata przesyłki to naruszenie RODO?

Punktem wyjścia do ustalenia, czy zgubiona przesyłka będzie stanowiła naruszenie RODO, jest określenie tego, jakie dane znajdowały się w paczce. Trzeba bowiem pamiętać, że rozporządzenie unijne chroni wyłącznie dane osób fizycznych i to jedynie te, po których jesteśmy w stanie rozpoznać konkretnego człowieka.

Zaglądając do RODO, w art. 4 pkt 1 czytamy, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Chodzi tutaj o taką osobę, którą można bezpośrednio lub pośrednio rozpoznać, w szczególności na podstawie identyfikatora (takiego jak imię i nazwisko, numer identyfikacyjny), danych o lokalizacji, identyfikatorze internetowym lub jednym bądź kilku szczególnych czynnikach określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Jeżeli zatem w przesyłce znajdowały się wyłącznie informacje o osobach prawnych, np. dokumentacja finansowa spółki z o.o., administrator może spać spokojnie. Oczywiście w dalszym ciągu utrata paczki jest problemem, ale już nie od strony RODO.

Tajemnica pocztowa a ochrona danych osobowych

Operator pocztowy, a trzeba pamiętać, że nie będzie to wyłącznie Poczta Polska, ale również każda inna firma kurierska, która w ofercie ma przewóz korespondencji, podlega pod Ustawę z 23 listopada 2012 roku – Prawo pocztowe. Zgodnie z art. 41 ustawy, na operatorze ciąży obowiązek zachowania tajemnicy pocztowej. Obejmuje ona szeroki zakres informacji, w szczególności:

  • dane przekazywane w przesyłkach;
  • informacje związane z realizacją przekazów pocztowych;
  • dane identyfikujące podmioty korzystające z usług pocztowych;
  • informacje dotyczące samego faktu oraz okoliczności świadczenia usług pocztowych.

Przepisy doprecyzowują, że naruszenie tej tajemnicy może polegać zwłaszcza na:

  • ujawnieniu lub przetwarzaniu informacji albo danych objętych tajemnicą pocztową;
  • otwieraniu zamkniętych przesyłek pocztowych lub zapoznawanie się z ich treścią;
  • umożliwianiu osobom nieuprawnionym podejmowania działań mających na celu wykonywanie czynności, o których mowa wyżej.

Warto podkreślić, że już samo zagubienie przesyłki, nawet bez dowodu jej otwarcia, jest uznawane za naruszenie tajemnicy pocztowej. Jak czytamy między innymi w wyroku Naczelnego Sądu Administracyjnego (NSA) z 28 czerwca 2022 roku (sygn. akt: II GSK 265/19), naruszenie zasady tajemnicy korespondencji rozumianej jako możliwość zapoznania się z treścią przesyłki zawsze należy kwalifikować jako naruszenie przepisów o obowiązku zachowania tajemnicy korespondencji, niezależnie od tego, czy do takiego zapoznania się z treścią przesyłki faktycznie doszło. Zawsze bowiem w takim przypadku prowadzi ono do zagrożenia bezpieczeństwa obrotu pocztowego oraz istotnych interesów podmiotów korzystających z usług pocztowych.

Zatem należy uznać, że zawsze, jeżeli doszło do zgubienia przesyłki, w której znajdowały się dane osobowe, przyjmuje się, że doszło również do naruszenia zasad ochrony danych osobowych.

Zgubiona przesyłka z danymi osobowymi – czy administrator zawsze odpowiada?

Jeżeli w zagubionej w doręczeniu przesyłce znajdowały się dane osób fizycznych, trzeba się wówczas zastanowić, czy administrator jest za taki stan rzeczy odpowiedzialny. Zgodnie z RODO naruszenie stanowi każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji lub nieuprawnionego ujawnienia danych. Zgubiona przesyłka z danymi osobowymi z całą pewnością wpisuje się w powyższą definicję. Czy oznacza to automatycznie, że administrator naruszył przepisy rozporządzenia?

Do tej pory zarówno organy ochrony danych osobowych, jak i sądy administracyjne stały na podobnych stanowiskach, a także uznawały, że w każdym wypadku odpowiedzialność leży po stronie administratora danych. Wskazywano, że należy rozróżniać zakres odpowiedzialności w kontekście ochrony danych osobowych – operatorem danych nadawcy i odbiorcy jest operator pocztowy, natomiast administratorem danych zawartych wewnątrz przesyłki pozostaje jej nadawca. To on decyduje o zakresie przekazywanych informacji i odpowiada za ich właściwe zabezpieczenie. Wyłącznie nadawca ma wiedzę o tym, jakie dane znajdują się w przesyłce, a zatem to on pełni funkcję administratora tych danych. W konsekwencji, w przypadku zagubienia przesyłki lub uzyskania do niej dostępu przez osoby nieuprawnione, to właśnie nadawca zobowiązany jest do realizacji obowiązków wynikających z naruszenia ochrony danych.

To jednak się zmieniło i organy oraz wojewódzkie sądy administracyjne będą musiały zweryfikować swoje poglądy. W wyroku z 3 grudnia 2025 roku (sygn. akt: III OSK 2593/22) NSA wskazał, iż nie można zaakceptować schematu rozumowania, zgodnie z którym sam fakt utraty przesyłki zawierającej dane osobowe przesądza o naruszeniu przez administratora zasady integralności i poufności oraz obowiązków wynikających z art. 24 i 32 RODO. W ocenie sądu taka konstrukcja odpowiedzialności prowadzi do nieuprawnionego uproszczenia i abstrahuje od rzeczywistego przebiegu procesu przetwarzania danych oraz roli podmiotów trzecich uczestniczących w tym procesie.

Naczelny Sąd Administracyjny podkreślił, że jeżeli administrator przekazuje przesyłkę zawierającą dane osobowe podmiotowi profesjonalnie świadczącemu usługi pocztowe lub kurierskie, nie można z góry zakładać, iż każda utrata przesyłki oznacza nienależyte wykonanie obowiązków przez administratora danych. Organ nadzorczy, chcąc przypisać administratorowi odpowiedzialność za naruszenie ochrony danych, zobowiązany jest wykazać, że po jego stronie wystąpiło konkretne uchybienie polegające na braku należytej staranności, nieadekwatnym do ryzyka doborze środków organizacyjnych lub niewłaściwej ocenie ryzyka związanego z daną formą przetwarzania.

Podsumowując, sąd uznał, że odpowiedzialność administratora danych za zagubienie przesyłki z danymi osobowymi nie ma charakteru automatycznego, a jej przypisanie wymaga każdorazowo wykazania, że administrator rzeczywiście naruszył obowiązki wynikające z RODO.

Kiedy administrator będzie odpowiadał za zagubienie przesyłki?

W wyroku NSA wskazano, że zgubiona przesyłka z danymi osobowymi nie oznacza automatycznie, że administrator naruszył przepisy RODO. Aby móc przypisać mu odpowiedzialność, należy odpowiedzieć na dwa pytania:

  1. Czy doszło do naruszenia ochrony danych?
  2. Czy administrator ponosi winę za to naruszenie?

Odpowiedzialność administratora danych pojawi się, dopiero kiedy można uznać, że zawinił on całej sytuacji. Możliwy jest bowiem przypadek, w którym wystąpiło naruszenie (tj. doszło do zaginięcia dokumentów), ale administrator dochował należytej staranności i nie można przypisać mu winy w rozumieniu przepisów RODO.

Trzeba pamiętać, że zgodnie z art. 5 RODO odpowiedzialność za ochronę danych osobowych opiera się na zasadzie rozliczalności, zgodnie z którą administrator musi być w stanie wykazać, że przetwarzanie danych odbywa się zgodnie z przepisami. W praktyce oznacza to konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych oraz udokumentowania ich adekwatności.

Dotychczasowa praktyka UODO prowadziła do uproszczenia znaczenia tego obowiązku. Przyjmowano, że skoro doszło do zgubienia przesyłki, to zastosowane środki były niewystarczające. Aktualna linia orzecznicza NSA wyraźnie sprzeciwia się takiemu automatyzmowi. Sam skutek w postaci utraty danych nie może przesądzać o naruszeniu obowiązków przez administratora. Konieczne jest wykazanie, że zastosowane środki były nieadekwatne do ryzyka.

Wybór operatora a odpowiedzialność administratora

Zgubiona przesyłka z danymi osobowymi przez operatora pocztowego oznacza, że nie dochował on obowiązujących go standardów branżowych. Ale czy wina po stronie kuriera zdejmuje odpowiedzialność z barków administratora danych? Nie do końca, w tym kontekście ważne są również działania podjęte przez administratora, a mianowicie: 

  • Czy administrator dokonał racjonalnego wyboru usługodawcy?
  • Czy podmiot realizujący transport jest profesjonalnym uczestnikiem obrotu?
  • czy warunki współpracy odpowiadają standardom bezpieczeństwa?

Powierzenie transportu wyspecjalizowanemu podmiotowi nie zwalnia administratora z obowiązków, ale ogranicza zakres jego odpowiedzialności. Nie można bowiem oczekiwać, że administrator będzie kontrolował każdy etap fizycznego przemieszczania przesyłki.

Kiedy administrator może uniknąć odpowiedzialności?

Mając na uwadze omawiany wyżej wyrok NSA, uznać możemy, że zgubiona przesyłka z danymi osobowymi nie będzie skutkowała odpowiedzialnością administratora, jeżeli wykaże on, że działał zgodnie z zasadą należytej staranności. Co to jednak oznacza?

Prawidłowa analiza ryzyka

Administrator danych w pierwszej kolejności powinien przeprowadzić analizę ryzyka, tj. powinien zidentyfikować ryzyka związane z przesyłaniem dokumentów w formie papierowej, w tym zagrożenie ich utraty, i odpowiednio je udokumentować.

Dobór adekwatnych środków zabezpieczenia 

Następnie powinien dobrać adekwatne środki zabezpieczenia do poziomu istotności danych zawartych w przesyłce (np. dane medyczne pracowników, czyli dane szczególnie wrażliwe, będą wymagały zastosowania mocniejszych zabezpieczeń, aniżeli dane korespondencyjne pracowników).

Działanie administratora danych może obejmować m.in.:

  • odpowiednie pakowanie dokumentów;
  • stosowanie zabezpieczonych kopert;
  • ograniczenie zakresu przesyłanych danych.

Wybór profesjonalnego operatora

Korzystanie z usług renomowanego podmiotu świadczącego usługi pocztowe lub kurierskie stanowi istotny argument przemawiający na korzyść administratora. Wybór nikomu nieznanej firmy będzie niemal na pewno równał się z obciążeniem odpowiedzialnością administratora danych.

Istotne znaczenie ma również umowa zawarta między stronami. Powinna ona zawierać szczegółowe zapisy dotyczące odpowiedzialności, standardów bezpieczeństwa oraz procedur reklamacyjnych.

Reakcja administratora na zgubienie przesyłki

Duże znaczenie ma także reakcja administratora na to, co się stało z paczką zawierającą dane osobowe. Po stwierdzeniu zagubienia przesyłki administrator powinien:

  • podjąć działania wyjaśniające;
  • złożyć reklamację;
  • ocenić ryzyko dla osób, których dane dotyczą;
  • wdrożyć środki zapobiegawcze na przyszłość.

Spełnienie powyższych warunków nie daje stuprocentowej gwarancji uniknięcia odpowiedzialności, ale z pewnością może pomóc.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Sztuczna inteligencja i poufność – jak zaktualizow...
Maj 2026
27
Środa
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • Dzień ustawowo wolny od pracy
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Zastrzeżenie PESEL – jakie niesie konsekwencje?
  3. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  4. RODO - czyli jakie dane podlegają ochronie danych osobowych?
  5. Które podmioty obejmuje nowa ustawa o krajowym systemie cyberbezpieczeństwa?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Sztuczna inteligencja i poufność – jak zaktualizować umowy o…

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

HR Workshop Week 2026: Trzy dni intensywnej praktyki dla branży HR
SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni
Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów