UODO nałożył na administratora karę pieniężną w związku z naruszeniem ochrony danych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zdarzeniu UODO dowiedział się ze skargi złożonej na bank. Bank Millenium uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie wypełnił do końca obowiązku związanego z powiadomieniem osób, których dane dotyczą. I za to Prezes Urzędu Ochrony Danych Osobowych nałożył na bank karę - ponad 363 tys. zł.
Bank zaskarżył decyzję do sądu administracyjnego.
Grzech zaniechania
Wydając 1 lipca 2022 r. wyrok w tej sprawie, Wojewódzki Sąd Administracyjny w Warszawie nie miał wątpliwości, że incydent stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. W wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło bowiem do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.
Bank nie miał informacji, co się stało z przesyłką, co - zdaniem sądu - jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione i co w konsekwencji oznacza, że doszło do naruszenia ochrony danych osobowych.
Czytaj więcej
Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia– podkreślił Prezes Urzędu Ochrony Danych Osobowych, i nałożył na bank Millenium ponad 363 tys. zł kary.