Wojewódzki Sąd Administracyjny w Warszawie w wyroku wydanym 1 lipca 2022 r. oddalił skargę Banku Millenium S.A. na decyzję UODO nakładająca administracyjną karę pieniężną.

UODO nałożył na administratora karę pieniężną w związku z naruszeniem ochrony danych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zaistniałym zdarzeniu UODO dowiedział się ze skargi, jaka wpłynęła na bank. Administrator uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą. Zaniechanie zawiadomienia o naruszeniu organu nadzorczego oraz zawiadomienia osoby, której dane dotyczą, było przyczyną nałożenia kary.

Jednak naruszenie

Sąd nie miał wątpliwości, że incydent, którego dotyczy przedmiotowe postępowanie, stanowi naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. W wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło bowiem do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.

Bank nie posiada informacji na temat tego, co się stało z ww. przesyłką, co jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione i co w konsekwencji oznacza, że doszło do naruszenia ochrony danych osobowych.

Z naruszeniem ochrony danych osobowych nie mamy bowiem do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona, ale także wtedy, gdy administrator takiej sytuacji nie może wykluczyć z uwagi na brak informacji w tym zakresie. Administrator nie jest w stanie samodzielnie jednoznacznie stwierdzić, że nie doszło do ujawnienia danych osobowych, dlatego też przedmiotowy incydent traktowany jest jako naruszenie poufności danych.

W tej sprawie doszło do naruszenia ochrony danych osobowych polegającego na zagubieniu dokumentacji zawierającej dane osobowe klientów banku, co powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To oznacza, że po stronie banku powstał obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia tych osób o naruszeniu.

Analiza ryzyka

Sam administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolności skarżących przyjął średni poziom tego ryzyka. Bank zatem stosownie do wyniku własnej analizy ryzyka przeprowadzonej w związku z naruszeniem powinien co najmniej dokonać zgłoszenia naruszenia organowi nadzorczemu, czego, co należy ponownie podkreślić, nie uczynił.

Kto administratorem- poczta czy bank?

Zdaniem sądu, organ nadzorczy prawidłowo uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada. Co prawda, operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.

Należy wskazać, że w zagubionej przesyłce znajdowały się dokumenty bankowe, co zatem pozwala jednoznacznie stwierdzić, iż administratorem danych jest bez wątpienia bank, który też nadał tę przesyłkę i to on zobowiązany był do zrealizowania zarzucanych w zaskarżonej decyzji obowiązków, ciążących na administratorze.

Wyrok Wojewódzkiego Sądu Administracyjny w Warszawie z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21).