Źródło grafiki: https://pixabay.com
Wojewódzki Sąd Administracyjny oddala skargę Banku Millenium S.A. To oznacza, że bank musi zapłacić karę, jaką nałożył na niego UODO.
Sprawa, będąca podstawą nałożenia przez UODO na Bank Millenium kary pienieżnej, dotyczyła zagubionej przesyłki listowej. Urząd Ochrony Danych Osobowych nałożył na administratora karę pieniężną w związku z naruszeniem ochrony danych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zaistniałym zdarzeniu UODO dowiedział się ze skargi, jaka wpłynęła na bank. Administrator (czyli bank) uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą. Zaniechanie zawiadomienia o naruszeniu organu nadzorczego oraz zawiadomienia osoby, której dane dotyczą, było przyczyną nałożenia kary.
Wojewódzki Sąd Administracyjny nie miał wątpliwości, że incydent, którego dotyczyło postępowanie, stanowi naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. W wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło bowiem do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.
Wskazano w uzasadnieniu, że bank nie posiada informacji na temat tego, co się stało z ww. przesyłką, co jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione i co w konsekwencji oznacza, że doszło do naruszenia ochrony danych osobowych. Z naruszeniem ochrony danych osobowych nie mamy bowiem do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona, ale także wtedy, gdy administrator takiej sytuacji nie może wykluczyć z uwagi na brak informacji w tym zakresie. Administrator nie jest w stanie samodzielnie jednoznacznie stwierdzić, że nie doszło do ujawnienia danych osobowych, dlatego też przedmiotowy incydent traktowany jest jako naruszenie poufności danych.
Słusznie zauważono także, że w omawianej sprawie doszło do naruszenia ochrony danych osobowych polegającego na zagubieniu dokumentacji zawierającej dane osobowe klientów banku, co powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To oznacza, że po stronie banku powstał obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia tych osób o naruszeniu.
Sam administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolności przyjął średni poziom tego ryzyka. Bank zatem stosownie do wyniku własnej analizy ryzyka przeprowadzonej w związku z naruszeniem powinien co najmniej dokonać zgłoszenia naruszenia organowi nadzorczemu, czego, co należy ponownie podkreślić, nie uczynił.
Sąd rozstrzygnął także, kto jest administratorem - bank czy poczta. Zdaniem WSA, organ nadzorczy prawidłowo uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada. Co prawda, operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki. Należy bowiem wskazać, że w zagubionej przesyłce znajdowały się dokumenty bankowe, co zatem pozwala jednoznacznie stwierdzić, iż administratorem danych jest bez wątpienia bank, który też nadał tę przesyłkę i to on zobowiązany był do zrealizowania zarzucanych w zaskarżonej decyzji obowiązków, ciążących na administratorze.
Źródło:
- wyrok Wojewódzkiego Sądu Administracyjny w Warszawie z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21).
Treści publikowane w Serwisie internetowym PlanetaPrawo.pl mają charakter informacyjno-edukacyjny. Nie stanowią one porad prawnych i nie zastępują profesjonalnej pomocy prawnej. Administrator nie ponosi odpowiedzialności za jakiekolwiek skutki związane z ich wykorzystywaniem. Wszelkie prawa zastrzeżone – powołując się na publikację podaj źródło.
Wyrok podpisany, nieogłoszony
2022-03-17 17:03Przywrócenie terminu w postępowaniu administracyjnym
2023-03-01 13:10Ubezpieczenie wspólnika pasywnego w spółce komandytowej
2022-11-20 16:35