Sprawa zaczęła się w 2021 r. Firma kurierska zgubiła korespondencję z danymi osobowymi klientów Banku Millennium, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom banku. O zdarzeniu Urząd Ochrony Danych Osobowych dowiedział się ze skargi, jaka wpłynęła na bank. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia UODO. Natomiast powiadomił klientów. Prezes UODO uznał jednak, że informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO.
Czytaj więcej
Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależnion...
Sąd: bank utracił kontrolę nad przetwarzanymi danymi osobowymi klientów
Brak właściwego powiadomienia zainteresowanych oraz niepowiadomienie Prezesa UODO były przyczyną nałożenia administracyjnej kary pieniężnej na Bank Millenium. Bank złożył na tę decyzję skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Sąd nie miał jednak wątpliwości: w wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.
Co więcej, bank nie miał informacji na temat tego, co się stało z przesyłką, co – zdaniem sądu – jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione. W konsekwencji sąd uznał, że doszło do naruszenia ochrony danych osobowych.
