UODO nałożył na administratora karę pieniężną w związku z naruszeniem ochrony danych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zdarzeniu UODO dowiedział się ze skargi złożonej na bank. Bank Millenium uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie wypełnił do końca obowiązku związanego z powiadomieniem osób, których dane dotyczą. I za to Prezes Urzędu Ochrony Danych Osobowych nałożył na bank karę – ponad 363 tys. zł.
Bank zaskarżył decyzję do sądu administracyjnego.
Grzech zaniechania
Wydając 1 lipca 2022 r. wyrok w tej sprawie, Wojewódzki Sąd Administracyjny w Warszawie nie miał wątpliwości, że incydent stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. W wyniku zagubienia przesyłki, zawierającej dane osobowe klientów banku doszło bowiem do naruszenia bezpieczeństwa, skutkującego możliwością nieuprawnionego ujawnienia tych danych. Skoro administrator utracił kontrolę nad przetwarzanymi danymi osobowymi w związku z nieodnalezieniem przesyłki z dokumentami bankowymi zawierającymi dane osobowe jego klientów, to powstało ryzyko nieuprawnionego ujawnienia danych osobowych, czym został naruszony atrybut poufności danych osobowych.
Bank nie miał informacji, co się stało z przesyłką, co – zdaniem sądu – jednoznacznie świadczy również o braku informacji, czy z danymi zawartymi w treści dokumentów znajdujących się w zaginionej przesyłce, nie zapoznały się osoby nieuprawnione i co w konsekwencji oznacza, że doszło do naruszenia ochrony danych osobowych.
Czytaj więcej
Kurier zgubił list do klienta. Bank Millenium zapłaci 363 tys. zł kary
Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia– podkreślił Prezes Urzędu Ochrony Danych Osobowych, i nałożył na bank Millenium ponad 363 tys. zł kary.
– Z naruszeniem ochrony danych osobowych nie mamy bowiem do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi osobowymi nie zapoznała się osoba nieuprawniona, ale także wtedy, gdy administrator takiej sytuacji nie może wykluczyć z uwagi na brak informacji w tym zakresie. Administrator nie jest w stanie samodzielnie jednoznacznie stwierdzić, że nie doszło do ujawnienia danych osobowych, dlatego też przedmiotowy incydent traktowany jest jako naruszenie poufności danych – uznał Sąd.
W jego ocenie, w tej sprawie doszło do naruszenia ochrony danych osobowych polegającego na zagubieniu dokumentacji zawierającej dane osobowe klientów banku, co powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Po stronie banku zrodziło to obowiązek zawiadomienia tych osób o naruszeniu oraz zgłoszenia naruszenia do UODO.
Sąd zauważył, że sam administrator w przeprowadzonej ocenie ryzyka naruszenia przyjął średni poziom tego ryzyka. A zatem powinien przynajmniej zgłosić naruszenie organowi nadzorczemu. Nie zrobił nawet tego.
Kurier nie odpowiada za to, co w kopercie
Zdaniem sądu, organ nadzorczy prawidłowo uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie.
Autopromocja
Specjalna oferta letnia
Pełen dostęp do treści “Rzeczpospolitej” za 5,90 zł/miesi … czytaj dalej
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS