Zgubiona przesyłka problemem administratora – wyrok WSA w Warszawie

Przypomnijmy, że na Bank Millennium S.A. została nałożona kara za niezawiadomienie podmiotów danych o ich wycieku. Do zdarzenia doszło w następstwie zgubienia przez firmę kurierską korespondencji zawierającej dane osobowe klientów banków. Były to następujące dane:

• imiona i nazwiska,

• numery PESEL,

• adresy zameldowania,

• numery rachunków bankowych,

• numery identyfikacyjne nadawane klientom banku.

Kara ta jak na polskie realia była stosunkowo wysoka. Teraz zaś skarga na decyzję Prezesa UODO została oddalona przez Wojewódzki Sąd Administracyjny w Warszawie, a w konsekwencji wspomnianą karę podtrzymano. Jakie wnioski można wysnuć z uzasadnienia sądu? Otóż w ocenie sądu niewątpliwie doszło do naruszenia ochrony danych.

Sąd wskazał, że powstało w tej sytuacji ryzyko nieuprawnionego ujawnienia danych osobowych, a więc dane osobowe straciły poufność. Tym bardziej, że bank do tej pory nie ma informacji, co stało się z dokumentami znajdującymi się w zaginionej przesyłce. Nie może więc z całą pewnością stwierdzić, że nikt nieuprawniony nie uzyskał do nich dostępu.

Sąd ocenił też, że ryzyko dla praw i wolności podmiotów danych w następstwie opisywanego naruszenia było wysokie. Ocena przeprowadzona przez bank była więc niewłaściwa i skutkowała niedoszacowaniem ryzyka.

W sprawie poruszono także wątek administratora. Czy był nim bank, czy też operator pocztowy (a właściwie firma kurierska)? Rozstrzygnięcie tej kwestii jest kluczowe w kontekście obowiązku zgłoszenia naruszenia.

W ocenie sądu to Bank Millennium był administratorem danych osobowych, których dotyczyło naruszenie. Po stronie banku leżało bowiem określenie celów i sposób przetwarzania danych osobowych znajdujących się wewnątrz korespondencji. Firma kurierska nie miała nawet dostępu do tych danych.

Dlatego to właśnie bank powinien zawiadomić o naruszeniu podmioty danych.