Firma kurierska zgubiła przesyłkę, w której znajdowały się dane osobowe klientów banku. Organ uznał, że nie zapewniono odpowiedniej ochrony przed przypadkową utratą lub zniszczeniem danych i udzielił bankowi upomnienia. Wojewódzki Sąd Administracyjny w Warszawie potwierdził, że w przypadku nieprawidłowości w dostarczaniu przesyłek, obowiązek ochrony interesów podmiotu danych ciąży na nadawcy.
Oddział banku nadał do centrali przesyłkę, w której znajdowały się dokumenty zawierające dane osobowe (imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny klienta). Przesyłka nie dotarła do adresat, więc bank podjął działania w celu wyjaśnienia opóźnienia w doręczeniu. Następnie złożono oficjalną reklamację. Firma kurierska poinformowała, że podjęła próby wyjaśnienia sprawy, ale po miesiącu poszukiwań nie zdołała zlokalizować przesyłki i porzuciła dalsze starania.
Organ udzielił bankowi upomnienia
Osoby, których dane figurowały na zgubionych dokumentach wniosły skargę do Prezesa Urzędu Ochrony Danych Osobowych. Bank wyjaśnił, że podjął już działania naprawcze, by podobna sytuacja nie powtórzyła się w przyszłości. Organ uznał jednak, że instytucja nie zapewniła odpowiedniej ochrony danych osobowych przed ich niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą. W konsekwencji doszło do utraty poufności danych osobowych skarżących, którzy tym samym zostali narażeni na stres i uciążliwości. Stracili oni bowiem kontrolę nad swoimi danymi i mieli prawo obawiać się skutków tzw. „utraty tożsamości” ze wszystkimi negatywnymi skutkami tego zdarzenia. Mając powyższe na uwadze, organ udzielił bankowi upomnienia. Wydana w tej sprawie decyzja została zaskarżona.
Na administratorze spoczywają określone obowiązki
Sprawą zajął się Wojewódzki Sąd Administracyjny w Warszawie, który wskazał, że zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Na podstawie art. 32 ust. 1 RODO, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Z kolei w myśl art. 32 ust. 2 RODO, oceniając czy stopień bezpieczeństwa jest odpowiedni, należy uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowej utraty danych osobowych. Ponadto zgodnie z art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, by przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Na gruncie niniejszej sprawy, sąd uznał, że bank nie wypełnił swoich obowiązków, co w konsekwencji skutkowało naruszeniem zasady poufności.
Bank nie sprawował należytego nadzoru
WSA wskazał, że to bank był administratorem danych osobowych, które zostały zgubione, a więc był zobowiązany do zrealizowania obowiązków określonych w art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. W przypadku nieprawidłowości w dostarczaniu przesyłek, obowiązek ochrony interesów podmiotu danych ciąży bowiem na nadawcy, który znając zawartość utraconej korespondencji, jest w stanie ocenić wynikające z tego zagrożenia. Natomiast firma kurierska może wykonywać obowiązki administratora, tylko wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek. Tym samym organ miał podstawy przyjąć, że bank nie sprawował w pełni należytego nadzoru oraz w sposób niewystarczający dokonał weryfikacji doboru i oceny skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Sąd podkreślił, że z pomocą zewnętrznych dostawców, bank obsługiwał rocznie ponad 12 milionów przesyłek zawierających dane osobowe klientów. Oznacza to, że powinien on skuteczniej oraz na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności swoich klientów. Mając powyższe na uwadze, WSA oddalił skargę.
Wyrok WSA w Warszawie, sygn. akt II SA/Wa 3211/21
Niniejszy artykuł stanowi formę porady prawnej pro bono i ma na celu edukację prawną obywateli RP. Artykuł ten nie stanowi oferty handlowej w rozumieniu przepisów kodeksu cywilnego.
Nasza Kancelaria świadczy usługi prawne w zakresie każdej dziedziny prawnej. Jeśli poszukujecie Państwo prawnika, zapraszamy do kontaktu z naszą Kancelarią pod nr tel. 579636527, lub poprzez formularz kontaktowy, jaki znajduje się na naszej stronie głównej.
Świadczymy usługi prawne również drogą online. Informujemy, że porady prawne nie są udzielane pro bono.
Opracowano przez: Zespół LEGA ARTIS
Podstawa prawna:
Polecamy inne nasze publikacje w zakresie zmian prawnych. Aby wejść w zakładkę „Prawo co dnia” kliknij poniższy obrazek.