Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku Millennium, podtrzymując decyzję Prezesa UODO o karze ponad 350 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych oraz brak zawiadomienia osób, których dane ujawniono. Wyrok potwierdza obowiązek administratora do zgłaszania incydentów, nawet gdy sprawcą zdarzenia jest podmiot zewnętrzny.
Naczelny Sąd Administracyjny (NSA) potwierdził decyzję Prezesa Urzędu Ochrony Danych Osobowych, który nałożył na Bank Millennium karę administracyjną w wysokości ponad 350 tys. zł. Sankcję wymierzono za naruszenie obowiązków wynikających z art. 33 i 34 RODO – brak zgłoszenia incydentu do organu nadzorczego oraz brak zawiadomienia osób, których dane zostały utracone.
Sprawa dotyczyła zgubienia przez firmę kurierską przesyłki zawierającej dane klientów banku, m.in. imię, nazwisko, PESEL, adres zameldowania oraz numery rachunków bankowych. O naruszeniu UODO dowiedział się ze skargi wniesionej przez osobę, której dane znalazły się w utraconej przesyłce.
Wojewódzki Sąd Administracyjny (WSA) w Warszawie, a następnie NSA uznały, że incydent spełnia definicję naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. Brak wiedzy o losie przesyłki oznaczał bowiem, że doszło do utraty danych i potencjalnego nieuprawnionego dostępu.
Sądy potwierdziły, że bank jako administrator danych odpowiada za ich przetwarzanie, nawet jeśli technicznie przekazuje je podmiotowi trzeciemu – w tym wypadku firmie kurierskiej. To administrator decyduje o celach i sposobach przetwarzania danych, a zatem ponosi konsekwencje ich utraty lub ujawnienia.
Prezes UODO, analizując sprawę, wskazał, że ocena ryzyka dokonana przez bank była błędna. Samo uznanie, że istnieje średni poziom ryzyka naruszenia praw lub wolności osób fizycznych, obligowało administratora do zgłoszenia incydentu organowi nadzorczemu.
Niezrealizowanie obowiązków z art. 33 ust. 1 i art. 34 ust. 1 RODO stanowiło podstawę do nałożenia kary administracyjnej. NSA uznał, że kara była skuteczna, proporcjonalna i odstraszająca, a argumentacja banku nie wykazała błędnej wykładni prawa.
Wyrok NSA (sygn. III OSK 2416/22) przypomina, że odpowiedzialność administratora za ochronę danych nie ustaje w momencie przekazania ich podmiotowi przetwarzającemu. Administrator musi reagować na każde zdarzenie mogące prowadzić do utraty lub ujawnienia danych, a zaniechanie zgłoszenia naruszenia może skutkować dotkliwą sankcją finansową.
Źródło: UODO, DKN.5131.16.2021
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
