Sprawa zaczęła się w 2021 r. Firma kurierska zgubiła korespondencję z danymi osobowymi klientów Banku Millennium, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom banku. O zdarzeniu Urząd Ochrony Danych Osobowych dowiedział się ze skargi, jaka wpłynęła na bank. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia UODO. Natomiast powiadomił klientów. Prezes UODO uznał jednak, że informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO.
Czytaj więcej
Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla taki...
Sąd: bank utracił kontrolę nad przetwarzanymi danymi osobowymi klientów
Brak właściwego powiadomienia zainteresowanych oraz niepowiadomienie Prezesa UODO były przyczyną nałożenia administracyjnej kary pieniężnej na Bank Millenium. Bank złożył na tę decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Sąd nie miał jednak wątpliwości: w wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.
Co więcej, bank nie miał informacji na temat tego, co się stało z przesyłką, co – zdaniem sądu – jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione. W konsekwencji sąd uznał, że doszło do naruszenia ochrony danych osobowych.
„Z naruszeniem ochrony danych osobowych nie mamy bowiem do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona, ale także wtedy, gdy administrator takiej sytuacji nie może wykluczyć z uwagi na brak informacji w tym zakresie” - podkreślał sąd.
Bank: winna firma kurierska, która zgubiła list
Bankowi pozostało tylko złożenie skargi kasacyjnej do Naczelnego Sądu Administracyjnego, co też uczynił. Domagał się uchylenia wyroku w całości, bo jak twierdził, WSA zastosował błędną wykładnię prawa, przyjmując, że to bank miał obowiązek zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia podmiotów danych o naruszeniu, choć w chwili zagubienia przesyłki władztwo nad nią miała firma kurierska, a więc to ona była administratorem danych.
Bank nie zgodził się także z administracyjną karą pieniężną. Jego zdaniem WSA bez analizy przesłanek przyjął, że taka kara jest skuteczna, proporcjonalna i odstraszająca.
NSA oddalił jednak skargę Banku Millenium, a to oznacza, że decyzja PUODO jest prawomocna.
sygn. akt III OSK 2416/22
