W tej sprawie stan faktyczny nie budził niczyich wątpliwości:
Oddział Banku nadał do Centrali Banku przesyłkę, w której znajdowały się następujące dokumenty: pełnomocnictwo udzielone skarżącemu przez skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty […], ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na ww. dokumentach znajdowały się w szczególności następujące dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) skarżącej oraz imię, nazwisko i PESEL skarżącego.
W kwietniu 2019 r. Bank złożył oficjalną reklamację w związku z brakiem doręczenia ww. przesyłki.
W maja 2019 r. firma kurierska poinformowała Bank, że nie zdołała zlokalizować przesyłki i zakończyła próby jej poszukiwania.
Bank nie zgłosił naruszenia do Prezesa UODO oraz nie zawiadomił osób o naruszeniu ochrony ich danych osobowych w trybie art. 34 ust. 1 RODO, wskazując im w przesłanej informacji o zagubionych dokumentach ogólne informacje dotyczące charakteru naruszenia oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skarżącym skorzystanie z bezpłatnej usługi monitorującej aktywność “wykorzystywania” numeru PESEL.
W ocenie Prezesa Prezes Urzędu Ochrony Danych Osobowych, prawidłowe działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
Aktualności Plus 360 dni
599
PLN z VAT
Zapoznaj się z argumentacją Urzędu, Sądu czy Trybunału
Fachowe i czytelne podsumowanie omawianego orzeczenia
Ponad 2000 orzeczeń o Ochronie Danych Osobowych (RODO). Codzienna aktualizacja bazy orzeczeń.
Teraz zamawiasz Szkolenie RODO - Inspektor Ochrony Danych. Nie musisz podawać karty płatniczej. Wystarczy, że wypełnisz formularz a na podany adres e-mail otrzymasz fakturę VAT do opłacenia.Ważne: Dopiero po zaksięgowaniu płatności – system utworzy konto użytkownika oraz uruchomi subskrypcję. Dopiero od tego momentu rozpoczyna się okres Subskrypcji.
W takim stanie “rzeczy” Prezes UODO na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych nałożył na Bank administracyjną karę pieniężną w kwocie 363 832 PLN.
Bank zarzucał organowi nadzorczemu błędną wykładnię art. 33 ust. 1 i art. 34 ust. 1 RODO polegające na ich niewłaściwym zastosowaniu i przyjęciu, że Bank miał obowiązek zgłosić do Prezesa UODO zgubienie przesyłki, zawierającej dane osobowe W. G. i M. G., przez współpracującą z nim firmę kurierską z uwagi na wysokie ryzyko naruszenia praw i wolności osób fizycznych, w sytuacji, gdy zdarzenie to, nawet w przypadku jego kwalifikacji jako naruszenie ochrony danych osobowych, nie wiązało się z większym niż małe prawdopodobieństwem wystąpienia ryzyka naruszenia praw lub wolności podmiotów danych na poziomie uzasadniającym takie zgłoszenie do organu.
zdaniem Sądu, Prezes UODO dokonał prawidłowej wykładni art. 33 ust. 1 zdanie pierwsze RODO, zgodnie z którym, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, zgodnie z art. 55 tegoż rozporządzenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
w związku z tym, że są to dokumenty bankowe, nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę, i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych ww. naruszeniem, a także sposoby ich przetwarzania.
natomiast operator pocztowy oraz firma kurierska obowiązki administratora, w rozumieniu przepisów RODO, może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek.
Przedmiotowe orzeczenie zawiera także bardzo istotne informacje, co do prawidłowej wykładni art. 33 ust 1 RODO:
Tak więc, w przedmiotowej sprawie na Banku spoczywał obowiązek zgłoszenia naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 RODO i zawiadomienia o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 ust. 1 RODO.
W wyniku przedmiotowego zdarzenia, tj. zagubienia przesyłki zawierającej dokumenty z danymi osobowymi klientów Banku, doszło do naruszenia bezpieczeństwa, w wyniku którego powstało ryzyko nieuprawnionego wejścia w posiadanie danych osobowych, a więc ryzyko przypadkowego ich ujawnienia.
w związku z zagubieniem danych wystąpiła możliwość ujawnienia ich osobom nieuprawnionym, a to z kolei oznacza naruszenie bezpieczeństwa skutkujące ryzykiem utraty poufności danych osobowych, zaś zakres tych danych wskazuje na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku – numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
w piśmie (banku – PL) nie umieszczono opisu możliwych konsekwencji, z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych oraz informacji o imieniu i nazwisku oraz danych kontaktowych inspektora ochrony danych lub oznaczeniu innego punktu kontaktowego, od którego można uzyskać więcej informacji. Brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
w ocenie Sądu, zastosowana przez Prezesa UODO administracyjna kara pieniężna spełnia, w ustalonych okolicznościach niniejszej sprawy, funkcje, o których mowa w art. 83 ust. 1 RODO, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Judykatura.pl wykorzystuje jedynie niezbędne pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
W razie jakichkolwiek pytań czy wątpliwości w zakresie wykorzystywania plików cookies możesz się z nami skontaktować pod adresem e-mail: kontakt@judykatura.pl
Administratorem danych osobowych jest Piotr Liwszic prowadzący działalność gospodarczą jawneprzezpoufne Piotr Liwszic z siedzibą przy ul. Grzybowskiej 43, 00-855 Warszawa, NIP: 521-332-36-17. Dane osobowe będą przetwarzane w celu świadczenia usług na żądanie użytkownika serwisu. Każdej osobie przysługują odpowiednie prawa wynikające z RODO oraz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Więcej informacji na temat przetwarzania danych osobowych znajduje się w Polityce prywatności.
Wykorzystujemy poniższe pliki cookies, gdyż jest to konieczne do dostarczenia usług świadczonych drogą elektroniczną, których od Nas żądasz.
Cele wykorzystywania tych rodzajów plików zostały wskazane obok ich nazwy:
woocommerce_cart_hash
woocommerce_items_in_cart
wp_woocommerce_session_
_ga_1WDWPC51SQ
Jeśli wyłączysz ten plik cookie, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę witrynę, będziesz musiał ponownie włączyć lub wyłączyć pliki cookie.
Polityka plików cookies
Ze wszystkich niezbędnym informacjami dotyczącymi wykorzystywania przez serwis Judykatura.pl plików cookies można zapoznać się w Polityce Prywatności.
