Kurier zgubił, bank zapłaci za naruszenie RODO - zdecydował sąd

UODO nałożył na administratora karę pieniężną w związku z naruszeniem ochrony danych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zdarzeniu UODO dowiedział się ze skargi złożonej na bank. Bank Millenium uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie wypełnił do końca obowiązku związanego z powiadomieniem osób, których dane dotyczą. I za to Prezes Urzędu Ochrony Danych Osobowych  nałożył na bank karę - ponad 363 tys. zł.

Bank zaskarżył decyzję do sądu administracyjnego.

Grzech zaniechania

Wydając 1 lipca 2022 r. wyrok w tej sprawie, Wojewódzki Sąd Administracyjny w Warszawie nie miał wątpliwości, że incydent stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. W wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło bowiem do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.

Bank nie miał informacji, co się stało z przesyłką, co - zdaniem sądu - jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione i co w konsekwencji oznacza, że doszło do naruszenia ochrony danych osobowych.

Czytaj więcej

Dane osobowe

Kurier zgubił list do klienta. Bank Millenium zapłaci 363 tys. zł kary

Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależnion...

- Z naruszeniem ochrony danych osobowych nie mamy bowiem do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona, ale także wtedy, gdy administrator takiej sytuacji nie może wykluczyć z uwagi na brak informacji w tym zakresie. Administrator nie jest w stanie samodzielnie jednoznacznie stwierdzić, że nie doszło do ujawnienia danych osobowych, dlatego też przedmiotowy incydent traktowany jest jako naruszenie poufności danych - uznał Sąd.

W jego ocenie, w tej sprawie doszło do naruszenia ochrony danych osobowych polegającego na zagubieniu dokumentacji zawierającej dane osobowe klientów banku, co powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Po stronie banku zrodziło to obowiązek zawiadomienia tych osób o naruszeniu oraz zgłoszenia naruszenia do UODO.

Sąd zauważył, że sam administrator w przeprowadzonej ocenie ryzyka naruszenia przyjął średni poziom tego ryzyka. A zatem powinien przynajmniej zgłosić naruszenie organowi nadzorczemu. Nie zrobił nawet tego.

Kurier nie odpowiada za to, co w kopercie

Zdaniem sądu, organ nadzorczy prawidłowo uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie.

- To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada. Co prawda, operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki - argumentował sąd.

Podkreślił, że w zagubionej przesyłce znajdowały się dokumenty bankowe, co przemawia za jednoznacznym stwierdzeniem, iż administratorem danych jest bank, który nadał przesyłkę i to on zobowiązany był do zrealizowania zarzucanych w zaskarżonej decyzji obowiązków, ciążących na administratorze danych.