Sprawa dotyczyła zagubienia przez firmę kurierską przesyłki zawierającej dokumenty z danymi osobowymi klientów banku oraz zaniechania obowiązków wynikających z RODO.
Wyrok NSA (sygn. III OSK 2416/22) kończy kilkuletnie postępowanie i jednoznacznie przesądza, że to bank – jako administrator danych – ponosi odpowiedzialność za brak zgłoszenia naruszenia oraz brak prawidłowego poinformowania osób, których dane zostały zagrożone.
Zagubiona dokumentacja klientów
Sprawa miała swój początek w 2019 r., gdy klienci banku złożyli skargę do Prezesa UODO. W toku procedury zakładania rachunku bankowego przekazali oni do oddziału dokumenty zawierające m.in. imię i nazwisko, numer PESEL, adres zameldowania, numery rachunków bankowych oraz wewnętrzny numer identyfikacyjny klienta.
Dokumenty te zostały wysłane przez bank do centrali za pośrednictwem firmy kurierskiej. Przesyłka jednak nigdy nie dotarła do adresata i – mimo podjętych działań – nie została odnaleziona. Firma kurierska ostatecznie uznała ją za zagubioną.
Bank uznał „średnie ryzyko” i nie zgłosił naruszenia
Bank przeprowadził wewnętrzną ocenę ryzyka i uznał, że naruszenie nie powoduje wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.
W konsekwencji:
- ✗ nie zgłosił naruszenia Prezesowi UODO (art. 33 ust. 1 RODO),
- ✗ nie zawiadomił w sposób zgodny z RODO osób, których dane dotyczą (art. 34 ust. 1 RODO).
Klienci otrzymali jedynie ogólną informację o zagubieniu dokumentów oraz możliwość skorzystania z usługi monitorującej potencjalne nadużycia. Zabrakło jednak kluczowych elementów wymaganych przez RODO.
Stanowisko Prezesa UODO: wysokie ryzyko naruszenia praw
Prezes UODO nie podzielił stanowiska banku i uznał, że zagubienie dokumentów zawierających m.in. numer PESEL, dane adresowe i bankowe stanowi naruszenie ochrony danych osobowych.
Zakres tych danych powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym ryzyko kradzieży tożsamości, niezależnie od tego, czy doszło do faktycznego wykorzystania danych.
WSA i NSA: odpowiedzialność spoczywa na banku
Bank zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie, a następnie do NSA, argumentując m.in., że administratorem danych była firma kurierska.
Sądy obu instancji nie podzieliły tej argumentacji. Wskazano, że to bank określał cele i sposoby przetwarzania danych, a więc pozostawał administratorem danych w rozumieniu RODO.
Kluczowe znaczenie wyroku
Wyrok ma istotne znaczenie praktyczne dla wszystkich administratorów danych. Potwierdza, że zagubienie dokumentacji przez kuriera jest naruszeniem, a odpowiedzialności administratora nie przenosi się na podmiot przetwarzający.
NSA jednoznacznie wskazał, że zaniechanie obowiązków informacyjnych i zgłoszeniowych może skutkować dotkliwą karą finansową – nawet przy niewielkiej liczbie osób, których dane dotyczą.
Źródło: Decyzja Prezesa UODO z dnia 10 listopada 2021 r., znak: DKN.5131.7.2021, strona UODO (uodo.gov.pl)
