W konsekwencji bank musi zapłacić administracyjną karę pieniężną w wysokości ponad 350 tys. zł
Sprawa dotyczyła naruszenia ochrony danych osobowych oraz niewykonania przez bank dwóch podstawowych obowiązków z RODO: zgłoszenia naruszenia organowi nadzorczemu oraz poinformowania osób, których dane dotyczą.
Źródłem incydentu było zagubienie korespondencji nadanej przez bank przez podmiot świadczący usługi kurierskie. W przesyłce znajdowały się dane klientów obejmujące imię i nazwisko, numer PESEL, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom banku. To zestaw informacji, który pozwala na jednoznaczną identyfikację osoby, a jednocześnie może zwiększać ryzyko nadużyć, jeśli wpadnie w niepowołane ręce.
Istotne w tej sprawie jest to, jak bank zakwalifikował zdarzenie i jakie działania podjął po jego stwierdzeniu. Bank przyjął, że ryzyko negatywnych konsekwencji dla osób, których dane dotyczą, ma charakter średni. Mimo tego nie zgłosił naruszenia Prezesowi UODO ani nie zrealizował obowiązku zawiadomienia osób, których dane dotyczą w sposób zgodny z RODO. UODO dowiedział się o zdarzeniu nie z zawiadomienia administratora, lecz ze skargi dotyczącej incydentu.
Prezes UODO uznał, że bank, jako administrator danych, nie wypełnił obowiązków wynikających z art. 33 ust. 1 RODO i art. 34 ust. 1 RODO. Artykuł 33 reguluje obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, natomiast art. 34 dotyczy zawiadomienia osób, których dane dotyczą, gdy naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności. Na tej podstawie organ nałożył na bank karę administracyjną.
Bank zaskarżył decyzję do WSA w Warszawie
Sąd uznał, że incydent spełnia definicję naruszenia ochrony danych osobowych z art. 4 pkt 12 RODO, czyli naruszenia bezpieczeństwa prowadzącego do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. WSA zwrócił uwagę na fakt, że bank nie dysponował informacją, co stało się z przesyłką po jej zagubieniu. Brak wiedzy o losie korespondencji wzmacniał w ocenie sądu tezę, że doszło do naruszenia, ponieważ nie można było wykluczyć nieuprawnionego dostępu ani ujawnienia danych.
Drugim kluczowym elementem była kwestia odpowiedzialności za naruszenie i status podmiotów biorących udział w procesie doręczenia. Bank próbował wykazać, że w momencie zagubienia przesyłki to firma kurierska sprawowała faktyczne władztwo nad korespondencją, a więc powinna zostać potraktowana jako administrator danych. WSA nie podzielił tego stanowiska. Podkreślił, że administratorem jest podmiot, który określa cele i sposoby przetwarzania danych osobowych. W realiach sprawy robił to bank, a nie operator doręczeń. Z tego powodu to bank ponosi odpowiedzialność za wykonanie obowiązków przewidzianych w RODO w związku z naruszeniem.
WSA odniósł się także do oceny ryzyka wykonanej przez bank. Skoro administrator sam przyjął średni poziom ryzyka naruszenia praw lub wolności osób, których dane dotyczą, to co najmniej powinien dokonać zgłoszenia naruszenia organowi nadzorczemu. W ocenie sądu nie było podstaw do uznania, że zachodził wyjątek pozwalający na rezygnację ze zgłoszenia.
Po przegranej w WSA Bank Millennium wniósł skargę kasacyjną do NSA, domagając się uchylenia wyroku w całości
W kasacji bank ponownie podniósł m.in. zarzut błędnej wykładni prawa w zakresie obowiązku zgłoszenia naruszenia i zawiadomienia osób, których dane dotyczą, wskazując na rolę firmy kurierskiej. Kwestionował również zasadność i wymiar kary administracyjnej, argumentując, że sąd pierwszej instancji miał nie przeanalizować w wystarczającym stopniu przesłanek skuteczności, proporcjonalności i odstraszającego charakteru sankcji.
NSA tych argumentów nie uwzględnił i skargę kasacyjną oddalił. W efekcie utrzymane zostało rozstrzygnięcie, zgodnie z którym w opisanych okolicznościach bank był zobowiązany do uruchomienia procedur RODO związanych z naruszeniem, w tym do zgłoszenia incydentu organowi nadzorczemu oraz do właściwej oceny, czy zachodzi obowiązek poinformowania osób dotkniętych zdarzeniem.
