WSA w uzasadnieniu wyroku w sprawie Millenium – słuszna kara 370 000 zł

W głośnio omawianej sprawie niezgłoszenia naruszenia ochrony danych i niezawiadomienia osób, których dane dotyczą o tym naruszeniu WSA w Warszawie Wyrok opublikował uzasadnienia orzeczenia.

W tej sprawie stan faktyczny nie budził niczyich wątpliwości:

Oddział Banku nadał do Centrali Banku przesyłkę, w której znajdowały się następujące dokumenty: pełnomocnictwo udzielone skarżącemu przez skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty […], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na ww. dokumentach znajdowały się w szczególności następujące dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skarżącej oraz imię, nazwisko i PESEL skarżącego.

W kwietniu 2019 r. Bank złożył oficjalną reklamację w związku z brakiem doręczenia ww. przesyłki.

W maja 2019 r. firma kurierska poinformowała Bank, że nie zdołała zlokalizować przesyłki i zakończyła próby jej poszukiwania.

Bank nie zgłosił naruszenia do Prezesa UODO oraz nie zawiadomił osób o naruszeniu ochrony ich danych osobowych w trybie art. 34 ust. 1 RODO, wskazując im w przesłanej informacji o zagubionych dokumentach ogólne informacje dotyczące charakteru naruszenia oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skarżącym skorzystanie z bezpłatnej usługi monitorującej aktywność “wykorzystywania” numeru PESEL.

 

 

W ocenie Prezesa Prezes Urzędu Ochrony Danych Osobowych, prawidłowe działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

W takim stanie “rzeczy” Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych nałożył na Bank administracyjną karę pieniężną w kwocie 363 832 PLN.

Bank zarzucał organowi nadzorczemu błędną wykładnię art. 33 ust. 1 i art. 34 ust. 1 RODO polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank miał obowiązek zgłosić do Prezesa UODO zgubienie przesyłki, zawierającej dane osobowe W. G. i M. G., przez współpracującą z nim firmę kurierską z uwagi na wysokie ryzyko naruszenia praw i wolności osób fizycznych, w sytuacji, gdy zdarzenie to, nawet w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wiązało się z większym niż małe prawdopodobieństwem wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych na poziomie uzasadniającym takie zgłoszenie do organu.

Sąd odniósł się do zarzutów Banku i wskazał:

zdaniem Sądu, Prezes UODO dokonał prawidłowej wykładni art. 33 ust. 1 zdanie pierwsze RODO, zgodnie z którym, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, zgodnie z art. 55 tegoż rozporządzenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

w związku z tym, że są to dokumenty bankowe, nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę, i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych ww. naruszeniem, a także sposoby ich przetwarzania.

natomiast operator pocztowy oraz firma kurierska obowiązki administratora, w rozumieniu przepisów RODO, może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek.

Przedmiotowe orzeczenie zawiera także bardzo istotne informacje, co do prawidłowej wykładni art. 33 ust 1 RODO:

Tak więc, w przedmiotowej sprawie na Banku spoczywał obowiązek zgłoszenia naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 RODO i zawiadomienia o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 ust. 1 RODO.

W wyniku przedmiotowego zdarzenia, tj. zagubienia przesyłki zawierającej dokumenty z danymi osobowymi klientów Banku, doszło do naruszenia bezpieczeństwa, w wyniku którego powstało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych, a więc ryzyko przypadkowego ich ujawnienia.

Sąd tak argumentuję, że ze zgubienie przesyłki bankowej wiąże się wysokie ryzyko, o którym mowa w art. 34 ust. 1 RODO:

w związku z zagubieniem danych wystąpiła możliwość ujawnienia ich osobom nieuprawnionym, a to z kolei oznacza naruszenie bezpieczeństwa skutkujące ryzykiem utraty poufności danych osobowych, zaś zakres tych danych wskazuje na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku – numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

w piśmie (banku – PL) nie umieszczono opisu możliwych konsekwencji, z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od którego można uzyskać więcej informacji. Brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

w ocenie Sądu, zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.