W skardze do prezesa Urzędu Ochrony Danych Osobowych na nieprawidłowości w przetwarzaniu danych klient banku poinformował, że dwukrotnie, w odstępie tygodnia, doszło do wycieku jego danych. Odtąd żyje w strachu, że padnie ofiarą oszustw.

Utracił kontrolę nad swoimi danymi osobowymi i nie ma wpływu na to, kto, kiedy i jak może je wykorzystać. Już obecnie otrzymuje więcej telefonów i esemesów od nieznanych mu firm marketingowych. Za niedopuszczalne uznał również to, że po pierwszym incydencie bank nie zapobiegł kolejnemu wyciekowi.

Bank wyjaśnił, że w dokumentach przesłanych z oddziału do centrali znajdowały się dane osobowe klienta, wśród nich numery PESEL i karty kredytowej, niezbędne do zawarcia umowy. Poinformował, że jako rekompensatę zapewnił klientowi bezpłatne korzystanie z usługi BIK Alert. Wyliczył podjęte wewnętrzne środki zaradcze, mające na celu niedopuszczenie do pojawienia się podobnych zdarzeń. Winą obarczył firmę kurierską, która prawdopodobnie nieprawidłowo zabezpieczyła przesyłkę taśmą. Firma, z którą ma umowę, jest jednak zobowiązana do zachowania poufności oraz do należytego zabezpieczenia danych przed niepowołanym dostępem.

Prezes UODO udzielił bankowi upomnienia. Bank zaskarżył tę decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie. W jego opinii w uzasadnieniu decyzji nie przedstawiono argumentów przemawiających za tym, że naruszył przepisy unijnego rozporządzenia RODO. Doszło do uszkodzenia dwóch przesyłek, ale prezes UODO nie wyjaśnił, na czym polegało ich niewłaściwe zabezpieczenie. Wskazał jedynie, że przesyłki dotarły uszkodzone w trakcie transportu.

– Sąd uwzględnił argumenty banku i uchylił decyzję prezesa UODO. Nie wyjaśnił on bowiem, na czym polegało niewłaściwe zabezpieczenie przesyłek, będące podstawą upomnienia – uzasadniała motywy wyroku sędzia sprawozdawca Ewa Kwiecińska. – Nie wiadomo zatem, i nie wynika to z treści zaskarżonej decyzji prezesa UODO, czy doszło do naruszenia przepisów RODO na skutek braku należytego nadzoru ze strony banku czy też wskutek innych działań banku, polegających na niewłaściwym zabezpieczeniu przesyłek. Nie wiadomo więc również, jakie konkretne okoliczności przemawiały za zastosowaniem upomnienia – dodała sędzia.

Wyrok jest nieprawomocny.

Sygnatura akt: II SA/Wa 2949

Czytaj więcej

Wyrok NSA: nie dostał kredytu – bank musi usunąć jego dane