WSA w Warszawie w wyroku z dnia 1 lipca 2022 r. oddalił skargę Banku Millenium S.A. na decyzję UODO.
UODO nałożył na bank administracyjną karę pieniężną za naruszenie ochrony danych. Za wspomniane naruszenie uznano zgubienie przez podmiot świadczący usługi kurierskie korespondencji nadanej przez instytucję finansową. Przesyłka zawierała dane osobowe – imiona, nazwiska, numery PESEL, adresy zameldowania, numery rachunków bankowych oraz numery identyfikacyjne nadawane klientom banku.
W zaistniałej sytuacji ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem zostało ocenione przez bank jako średnie. W związku z tym na instytucji finansowej ciążył obowiązek co najmniej dokonania zgłoszenia naruszenia organowi nadzorczemu. To jednak nie nastąpiło. Co więcej, bank nie zrealizował należycie obowiązku powiadomienia osób, których dane były zagrożone. Kara została wymierzona za zaniechanie zawiadomienia zarówno organu nadzorczego, jak i osób, których dane mogły zostać ujawnione. W omawianej sytuacji był to obowiązek administratora ze względu na wysokie ryzyko naruszenia praw lub wolności skarżących.
Sąd stwierdził, że opisywane zdarzenie w sposób oczywisty narusza obowiązek ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. Naruszenie bezpieczeństwa mogło prowadzić do nieuprawnionego ujawnienia danych klientów banku. Z uwagi na to, że nie odnaleziono przesyłki z dokumentami, w której znajdowały się dane osobowe klientów, administrator utracił kontrolę nad przetwarzanymi danymi osobowymi. Zaistniało ryzyko nieuprawnionego ich ujawnienia, co naruszyło atrybut poufności danych osobowych. Podmiot finansowy nie posiada informacji na temat tego, co stało się z przesyłką. Oznacza to, że nie można stwierdzić czy z danymi widniejącymi na dokumentach nie zapoznały się osoby nieuprawnione.
Naruszenie obejmuje nie tylko sytuacje, kiedy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona. Dotyczy to również sytuacji, kiedy administrator nie może wykluczyć ryzyka, że do takiego zapoznania doszło. Ostatnie ze względu na to, że brak jest informacji do takiego stwierdzenia. Ten drugi przypadek traktuje się jako naruszenie poufności danych.
Sąd orzekł, że organ nadzorczy prawidłowo uznał bank za administratora danych osobowych. Instytucja finansowa określiła bowiem cele i sposoby przetwarzania danych. Przypomnijmy, że administratorem jest podmiot wysyłający dane i posiadający wiedzę o zawartości przesyłki. Takiej informacji nie posiadał podmiot świadczący usługi kurierskie. Podobnie jak operator pocztowy, ten ostatni jest administratorem jedynie danych widocznych na kopercie, a więc danych nadawców i adresatów – w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.
W zagubionej przesyłce znajdowały się dokumenty bankowe, dlatego też można jednoznacznie stwierdzić, że administratorem danych był bank. Nadał przesyłkę, a więc był zobowiązany do zrealizowania zarzucanych w zaskarżonej decyzji obowiązków ciążących na administratorze.
