NSA: kara prawie 364 000 zł prawidłowo nałożona na Bank
Prezes UODO otrzymał w czerwcu 2019 r. skargę dwóch obywateli, którzy podnieśli, że pewien Bank zagubił dokumentację ich dotyczącą. Dokumentacja ta była związana z zakładaniem konta bankowego w marcu 2019 r.
Osoby te wskazały organowi nadzorczemu, że w maju 2019 r. zostały powiadomione przez Bank o przedmiotowej sytuacji.
Bank w odpowiedzi na żądanie Prezesa UODO wskazał, że:
oddział Banku nadał do Centrali Banku przesyłkę, w której znajdowały się następujące dokumenty: Pełnomocnictwo udzielone Skarżącemu przez Skarżącą, Umowa konta oszczędnościowego profit, Umowa rachunków bankowych oraz karty debetowej, Umowa ramowa o świadczenie usług finansowych, Umowa rachunku bankowego, Potwierdzenie zmian do umowy rachunku bankowego, Umowa karty […], Ankieta inwestycyjna, Wynik ankiety inwestycyjnej. Na ww. dokumentach znajdowały się w szczególności następujące dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) Skarżącej oraz imię, nazwisko i PESEL Skarżącego.
Bank podjął działania w celu wyjaśnienia z firmą kurierską X Sp. z o.o., zwaną dalej: „X”, opóźnienia w doręczeniu ww. przesyłki. Następnie, w dniu […] kwietnia 2019 r. Bank złożył oficjalną reklamację w związku z brakiem doręczenia ww. przesyłki. W dniu […] kwietnia 2019 r. firma kurierska poinformowała Bank o zmianie statusu ww. przesyłki na status zagubionej informując, że pomimo tego nadal podejmuje próby wyjaśnienia sprawy. W dniu […] maja 2019 r. firma kurierska poinformowała Bank, że nie zdołała zlokalizować przesyłki i zakończyła próby jej poszukiwania.
Bank, zgodnie z metodyką opartą na europejskiej metodologii ENISA, ocenił to zdarzenie jako mogące powodować średnie ryzyko naruszenia praw i wolności Skarżących, dlatego też Bank nie zgłosił ww. naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz nie zawiadomił osób o naruszeniu ochrony ich danych osobowych zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, wskazując im w przesłanej informacji o zagubionych dokumentach jedynie bardzo ogólne informacje dotyczące charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem) oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skorzystanie Skarżącym z bezpłatnej usługi Alert […].
spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż jest ona proporcjonalna do sytuacji finansowej Banku i nie będzie stanowiła dla niego nadmiernego obciążenia.
Należy w tym miejscu wskazać, że Bank jest podmiotem dominującym w Grupie Kapitałowej Banku XXXX stanowiącej „przedsiębiorstwo” w rozumieniu motywu 150 rozporządzenia 2016/679.
Ze „Skonsolidowanego raportu rocznego Grupy Banku XXXXX za rok 2020” zamieszczonego na stronie internetowej Banku […] wynika, że przychody z działalności podstawowej Grupy Banku XXXX w 2020 r. wyniosły ok. 3,3 mld zł, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,011 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jednocześnie warto podkreślić, że kwota nałożonej kary (363 832,00 zł) to jedynie 0,55 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 próg 2 % liczony od całkowitego rocznego obrotu – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia
WSA w Warszawie wyrokiem z lipca 2022 r. oddalił skargę Banku wskazując, że:
Zdaniem Sądu, Prezes UODO dokonał prawidłowej wykładni art. 33 ust. 1 zdanie pierwsze RODO, zgodnie z którym, w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu, zgodnie z art. 55 tegoż rozporządzenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
W związku z tym, że są to dokumenty bankowe, nie ma wątpliwości, że administratorem danych widniejących na nich jest Bank, który też nadał przesyłkę, i to Bank zobowiązany był do zrealizowania obowiązków ciążących na administratorze, stosownie do art. 33 ust. 1 i art. 34 ust. 1 RODO. To Bank bowiem, a nie operator pocztowy, określił cele przetwarzania danych objętych ww. naruszeniem, a także sposoby ich przetwarzania.
Natomiast operator pocztowy oraz firma kurierska obowiązki administratora, w rozumieniu przepisów RODO, może wykonywać, ale wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek.
Tak więc, w przedmiotowej sprawie na Banku spoczywał obowiązek zgłoszenia naruszenia ochrony danych osobowych w trybie art. 33 ust. 1 RODO i zawiadomienia o naruszeniu osób, których dane dotyczą, zgodnie z art. 34 ust. 1 RODO.
W związku z zagubieniem danych wystąpiła możliwość ujawnienia ich osobom nieuprawnionym, a to z kolei oznacza naruszenie bezpieczeństwa skutkujące ryzykiem utraty poufności danych osobowych, zaś zakres tych danych wskazuje na wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.
Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku – numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
Sąd I instancji prawidłowo przyjął, że administratorem danych zawartych w dokumentacji bankowej, znajdującej się w zagubionej przesyłce, pozostaje Bank, gdyż to on określił cele i sposoby ich przetwarzania. Operator pocztowy (firma kurierska), który nie ma wiedzy ani dostępu do zawartości przesyłki, może mieć status administratora wyłącznie w odniesieniu do danych osobowych nadawcy i odbiorcy.
Operator pocztowy, w ramach podejmowanych przezeń czynności (abstrahując od sytuacji atypowych), nie określa celów ani sposobów przetwarzania danych zawartych w dokumentacji bankowej. Poczynione w tym kontekście przez Sąd I instancji spostrzeżenie, że to Bank, jako podmiot dysponujący wiedzą o zawartości przesyłki, może dokonać oceny ryzyka naruszenia praw lub wolności osób fizycznych – stanowi tu jedynie dodatkowy, notabene trafny, argument natury funkcjonalnej i nie świadczy o błędnej wykładni art. 4 pkt 7 RODO, a w szczególności nie stanowi wykroczenia “poza legalne wskazówki ustalania roli danego podmiotu jako administratora”.
Nie można natomiast zgodzić się ze stanowiskiem skarżącego kasacyjnie, jakoby sprawowanie “władztwa” nad przesyłką tudzież wykonywanie typowych obowiązków operatora pocztowego było – niejako w założeniu – tożsame z ustalaniem celów i sposobów przetwarzania danych osobowych, które potencjalnie mogą się w tej przesyłce znajdować.
Z tego względu jedynie na marginesie wskazać należy, że – zdaniem Naczelnego Sądu Administracyjnego – nie ma podstaw do kwestionowania stanowiska Sądu I instancji o zaistnieniu przesłanki z art. 33 ust. 1 RODO, nawet przy uwzględnieniu założenia, że liczy się zarówno prawdopodobieństwo, jak i waga zagrożenia.
tym zastrzeżeniem, wskazać należy, że zdaniem Naczelnego Sądu Administracyjnego prawidłowa jest ocena organu i Sądu I instancji, w myśl której naruszenie danych osobowych polegające na zagubieniu dokumentacji bankowej obejmującej m.in.: pełnomocnictwo, umowę konta oszczędnościowego, umowę rachunków bankowych oraz karty debetowej, umowę ramową o świadczenie usług finansowych, potwierdzenie zmian do umowy rachunku bankowego, ankietę inwestycyjną, wynik ankiety inwestycyjnej – i zawierającej dane osobowe klientów Banku, w tym: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF – może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Na aprobatę zasługuje przy tym argumentacja organu i Sądu I instancji dotycząca znaczenia numeru PESEL, którego pozyskanie przez osoby trzecie – zwłaszcza razem z innymi danymi – ułatwia kradzież lub sfałszowanie tożsamości.
Naczelny Sąd Administracyjny podziela ocenę Sądu I instancji, wedle której samo nałożenie i wysokość kary pieniężnej zostały przez organ wystarczająco uzasadnione z uwzględnieniem przesłanek, o których mowa w art. 83 ust. 2 lit. a-k RODO. Organ wskazał okoliczności wpływające na zaostrzenie kary, jak i te, które przemawiały za jej złagodzeniem. Rozstrzygnięcie nie nosi zatem znamion dowolności. Nałożona kara na tle okoliczności przedmiotowej sprawy jawi się jako skuteczna, proporcjonalna i odstraszająca. Zarzut naruszenia art. 83 ust. 1 RODO w związku z art. 83 ust. 2 lit. a-k RODO, polegającego na ich błędnym zastosowaniu – nie zasługiwał zatem na uwzględnienie.