bg
Chcę wiedzieć o...
Strona główna
Artykuły
Co w sytuacji, gdy kurier zgubił korespondencję nadaną przez bank?

Co w sytuacji, gdy kurier zgubił korespondencję nadaną przez bank?

Dodano: 2022-07-22
Publikator: Urząd Ochrony Danych Osobowych

WSA w Warszawie w wyroku z dnia 1 lipca 2022 r. oddalił skargę Banku Millenium S.A. na decyzję UODO.

UODO nałożył na bank administracyjną karę pieniężną za naruszenie ochrony danych. Za wspomniane naruszenie uznano zgubienie przez podmiot świadczący usługi kurierskie korespondencji nadanej przez instytucję finansową. Przesyłka zawierała dane osobowe – imiona, nazwiska, numery PESEL, adresy zameldowania, numery rachunków bankowych oraz numery identyfikacyjne nadawane klientom banku.

W zaistniałej sytuacji ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem zostało ocenione przez bank jako średnie. W związku z tym na instytucji finansowej ciążył obowiązek co najmniej dokonania zgłoszenia naruszenia organowi nadzorczemu. To jednak nie nastąpiło. Co więcej, bank nie zrealizował należycie obowiązku powiadomienia osób, których dane były zagrożone. Kara została wymierzona za zaniechanie zawiadomienia zarówno organu nadzorczego, jak i osób, których dane mogły zostać ujawnione. W omawianej sytuacji był to obowiązek administratora ze względu na wysokie ryzyko naruszenia praw lub wolności skarżących.

Sąd stwierdził, że opisywane zdarzenie w sposób oczywisty narusza obowiązek ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. Naruszenie bezpieczeństwa mogło prowadzić do nieuprawnionego ujawnienia danych klientów banku. Z uwagi na to, że nie odnaleziono przesyłki z dokumentami, w której znajdowały się dane osobowe klientów, administrator utracił kontrolę nad przetwarzanymi danymi osobowymi. Zaistniało ryzyko nieuprawnionego ich ujawnienia, co naruszyło atrybut poufności danych osobowych. Podmiot finansowy nie posiada informacji na temat tego, co stało się z przesyłką. Oznacza to, że nie można stwierdzić czy z danymi widniejącymi na dokumentach nie zapoznały się osoby nieuprawnione.

Naruszenie obejmuje nie tylko sytuacje, kiedy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona. Dotyczy to również sytuacji, kiedy administrator nie może wykluczyć ryzyka, że do takiego zapoznania doszło. Ostatnie ze względu na to, że brak jest informacji do takiego stwierdzenia. Ten drugi przypadek traktuje się jako naruszenie poufności danych.

Sąd orzekł, że organ nadzorczy prawidłowo uznał bank za administratora danych osobowych. Instytucja finansowa określiła bowiem cele i sposoby przetwarzania danych. Przypomnijmy, że administratorem jest podmiot wysyłający dane i posiadający wiedzę o zawartości przesyłki. Takiej informacji nie posiadał podmiot świadczący usługi kurierskie. Podobnie jak operator pocztowy, ten ostatni jest administratorem jedynie danych widocznych na kopercie, a więc danych nadawców i adresatów – w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.

W zagubionej przesyłce znajdowały się dokumenty bankowe, dlatego też można jednoznacznie stwierdzić, że administratorem danych był bank. Nadał przesyłkę, a więc był zobowiązany do zrealizowania zarzucanych w zaskarżonej decyzji obowiązków ciążących na administratorze. 

Artykuły powiązane

ZUS odzyskał ponad 150 mln zł dzięki kontrolom zwolnień lekarskich w pierwszej połowie 2025 roku

W pierwszych sześciu miesiącach 2025 roku Zakład Ubezpieczeń Społecznych zdołał odzyskać aż 150,5 mln zł poprzez dokładn...

VAT w odszkodowaniu z OC – decyzja Sądu Najwyższego przesunięta na wrzesień

Sąd Najwyższy odroczył do 24 września 2025 roku podjęcie uchwały, która miała rozstrzygnąć, czy podatek VAT powinien być...

Zastrzeżony PESEL a ubezpieczenie OC – koniec z polisami na cudze dane

Od 27 listopada 2025 roku w życie wejdą przepisy, które umożliwią ubezpieczycielom sprawdzanie, czy numer PESEL osoby ub...