Sprawa zaczęła się od zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom banku.
Klienci zostali o tym fakcie poinformowani, ale UODO uznał, że informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO.
Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia UODO.
Tymczasem jak czytamy w komunikacie, do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje.
UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko. Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie.
