Zaginiona paczka a obowiązki administratora
Zagubienie przesyłki przez pocztę jest często dużą bolączką dla poszkodowanego. Jak pokazał najnowszy wyrok WSA w Warszawie oddalający skargę Banku Millenium S.A. na decyzje UODO, obowiązki administratora w takim wypadku nie powinny być ignorowane.
Zaginiona przesyłka
Sprawa rozpoczęła się gdy firma świadcząca usługi kurierskie zagubiła przesyłkę bankową nadaną przez bank. W tej przesyłce znajdowały się dokumenty bankowe zawierające takie dane jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny klienta banku. Administrator danych, jakim był bank, po tym zdarzeniu uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie i kuriozalnie nie zgłosił faktu naruszenia do UODO. O całym zdarzeniu UODO dowiedziało się później na skutek skargi.
Postępowanie skargowe i odwołanie
W wyniku przeprowadzonego postępowania UODO uznał, że do naruszenia doszło a administrator nie spełnił obowiązków spoczywających na ADO. Urząd nałożył na bank administracyjną karę pieniężną, od której bank odwołał się do WSA w Warszawie.
Czy zagubienie paczki to naruszenie?
Pierwszą kwestia jaką zajął się sąd, było ustalenie czy rzeczywiście doszło do naruszenia ochrony danych osobowych. Jak stwierdził skład orzekający, w wyniku zagubienia przesyłki doszło do naruszenia bezpieczeństwa, które mogło skutkować możliwością nieuprawnionego ujawnienia danych osobowych. Bank utracił nad nimi kontrolę, ponieważ paczka nie została odnaleziona. Jak podkreślił WSA z naruszeniem nie mamy do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi nie zapoznała się osoba nieuprawniona, a tutaj tak nie było.
Obowiązki administratora a naruszenie
W tej sprawie bank powinien dokonać co najmniej zawiadomienia UODO o naruszeniu, czego nie uczynił. Co ważne, obowiązek zawiadomienia wyszedł z analizy ryzyka jaką przeprowadził sam bank (poziom średni), który następnie zaniechał tego obowiązku.
Administrator – bank czy poczta?
Kolejną, niezwykle ważną dla praktyki kwestią jaką zajął się sąd było ustalenie, czy w danej sprawie administratorem danych osobowych był bank, czy operator pocztowy. Sąd potwierdził jednoznacznie, że administratorem danych jest bank, gdyż to on określił cele i sposoby przetwarzania danych. Jako nadawca przesyłki tylko on wiedział, co dokładnie się w niej znajduje. Firma świadcząca usługi kurierskie była administratorem jedynie w zakresie danych, które widniały na kopercie, a które są niezbędne do prawidłowego dostarczenia przesyłki.
Wnioski na przyszłość
Podsumowując, można powiedzieć, że ignorowanie obowiązków wynikających z wystąpienia naruszenia jest złym pomysłem. Obowiązek notyfikacji organu nadzorczego o naruszeniu, gdy jest to wymagane, powinien być skrupulatnie zrealizowany. Dodatkowo WSA potwierdza stanowisko UODO, że administratorem danych osobowych znajdujących w przesyłce jest ich nadawca, w tym wypadku bank. Operator pocztowy (także kurier) odpowiadają jedynie za dane osobowe zawarte na etykiecie przesyłki. To jest kluczowa konkluzja dla całej branży kurierskiej.
Wyrok Wojewódzkiego Sądu Administracyjny w Warszawie z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21).
