Kara w wysokości ponad 363 tysięcy złotych została nałożona na Bank Millenium w związku z brakiem zawiadomienia Prezesa Urzędu Ochrony Danych o naruszeniu oraz brakiem zawiadomienia o naruszeniu osób, których dane dotyczą. Postępowanie zostało wszczęte wskutek złożenia skargi ze strony osób, których naruszenie dotyczyło.
Od czego to wszystko się zaczęło
Do Urzędu wpłynęła skarga osób, których dokumenty zostały zagubione przez Bank. Dokumenty zawierały takie dane jak: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku). Dokumenty miały zostać przesłane z oddziału Banku do jego Centrali. Gdy nie zostały doręczone w przewidywanym dniu, Bank złożył reklamację do firmy kurierskiej, która poinformowała, że przesyłka została zagubiona. Pomimo podejmowanych prób jej odnalezienia nie udało się jej zlokalizować do chwili wydania decyzji.
W związku ze stwierdzeniem naruszenia Bank przeprowadził analizę ryzyka „zgodnie z metodyką opartą na europejskiej metodologii ENISA, ocenił to zdarzenie jako mogące powodować średnie ryzyko naruszenia praw i wolności Skarżących, dlatego też nie zgłosił ww. naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz nie zawiadomił osób o naruszeniu ochrony ich danych osobowych zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, wskazując im w przesłanej informacji o zagubionych dokumentach jedynie bardzo ogólne informacje dotyczące charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem) oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skorzystanie Skarżącym z bezpłatnej usługi Alert […]. Informacja ta nie zawierała natomiast żadnych informacji o konsekwencjach z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych (art. 33 ust. 3 lit. c rozporządzenia 2016/679) oraz informacji, na które wskazuje art. 33 ust. 3 lit. b rozporządzenia 2016/679, tj. imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji. Brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez Administratora w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia”.
Jak tłumaczył się Bank
Jak wyjaśniał Bank do zgłoszenia naruszenia nie doszło ponieważ w chwili gdy nastąpiło naruszenie, dokumenty opracowane przez Grupę Roboczą art. 29 ani inne pomocne stanowiska lub wytyczne nie prezentowały przykładów podobnych do stanu faktycznego przedmiotowej sprawy. Zdaniem Banku przedstawione w (WP 250) Wytycznych dotyczących zgłaszania naruszeń ochrony danych zgodnie z rozporządzeniem 206/679 przykłady kiedy należy dokonać zgłoszenia naruszenia niosły ze sobą większe zagrożenie dla praw lub wolności osób niż brak zgłoszenia, dlatego nie uznał za konieczne podejmowanie jakichkolwiek działań.
Co ciekawe, bank zakwestionował również konieczność zgłaszania każdego naruszenia w którym doszło do ujawnienia numeru PESEL argumentując, że: „W ocenie Banku, nie w każdym przypadku ujawnienie danych w postaci numeru PESEL powoduje powstanie dużego ryzyka dla praw i wolności osoby poszkodowanej, w tym ryzyka kradzieży tożsamości; trudno też zgodzić się z daleko idącymi konsekwencjami jego ujawnienia jak możliwość zaciągnięcia pożyczki – takie sytuacje w wyniku uzyskania numeru PESEL są rzadkie, o ile w ogóle obecnie możliwe, a ponadto cyt.: »[…] ani banki, ani pożyczkodawcy jako podmioty zobowiązane na podstawie przepisów AML do weryfikacji dokumentu tożsamości nie mogą udzielić finansowania w oparciu o sam numer PSESEL ani numer PESEL w połączeniu z innymi informacjami«”.
Ponadto, Bank argumentował, że jego zdaniem najczęściej zagubiona przesyłka ciągle może przebywać w sortowni firmy kurierskiej. Bank „[…] jednocześnie wskazał, że większość formalnie zagubionych przesyłek pozostaje w stanie nienaruszonym, nie opuszczając infrastruktury dostawców, często bowiem zdarzają się przypadki, kiedy przesyłki spadają z taśmy, co powoduje nadanie im statusu zagubionych;”. Argumentował również, że: „stale nadzoruje jakość usług oferowanych przez X, monitoruje wykonanie proponowanych działań naprawczych oraz organizuje spotkania w celu omówienia możliwości dalszego doskonalenia procesu, uzyskując informacje na temat szczegółów operacyjnych działań X np. o tym, że wiele z przesyłek uznanych formalnie za zagubione to przesyłki, które np. spadają ze swoich samobieżnych taśm w sortowni, z których odkleiły się etykiety itd., nigdy zatem nie opuszczają infrastruktury X”.
Po co zawiadamiać organ o naruszeniach
W związku z otrzymanymi wyjaśnieniami Banku, organ nadzorczy przedstawił w decyzji szerokie uzasadnienie czemu służy zawiadomienie organu o naruszeniu jak również osób, których dotyczy naruszenie.
„Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeśli takie ryzyko wystąpiło – to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem.
Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia. Podkreślić należy, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem”.
PESEL = wysokie ryzyko?
Po raz kolejny urząd podkreślił, że ujawnienie numeru PESEL wraz z innymi danymi m.in. imię, nazwisko, adres zameldowania, numer rachunku bankowego stanowi wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Wobec czego, w wypadku ujawnienia takich danych powstaje obowiązek „zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia tych osób o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679”.
Organ w swojej decyzji wielokrotnie zaznacza, że: „ujawnienie numeru PESEL wraz z imieniem i nazwiskiem jednoznacznie identyfikuje osobę fizyczną, a w powiązaniu z danymi w zakresie adresu zameldowania, numerów rachunków bankowych, a także numeru CIF (numer identyfikacyjny nadawany klientom Banku) może powodować doniosłe konsekwencje dla osoby, której dane osobowe zostały ujawnione”.
Organ nie zgodził się z przedstawioną przez Bank argumentacją, że nie każde ujawnienie numeru PESEL wiąże się z wysokim ryzykiem i koniecznością zawiadomienia organu nadzorczego oraz osób, których naruszenie dotyczyło. PUODO podkreśliło, że w ocenie organu są to niezwykle ważne dane, które stanowią krajowy numer identyfikujący. Organ wskazał również na szereg działań, które podejmuje w celu polepszenia ochrony numeru, jak np. zwrócenie się do Ministerstwa Sprawiedliwości w kwestii konieczności upublicznienia numeru PESEL w Krajowym Rejestrze Sądowym.
„[…] nie ma wątpliwości, że numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga”.
Ponadto, organ podkreślił, że nie jest istotne dla oceny ryzyka naruszenia „czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych,[…]”. Podobnie jest w przypadku gdy oceniamy konieczność zawiadomienia o naruszeniu ochrony danych osób, których naruszenie dotyczyło. Nie jest konieczne faktyczne poniesienie negatywnych konsekwencji naruszenia, wystarczająca jest możliwość ich zrealizowania się.
Skąd taka wysokość kary
Organ w sposób bardzo rozbudowany argumentuje w decyzji wysokość nałożonej kary, wskazując dokładnie które z przesłanek określonych w art. 83 rozporządzenia 2016/679 uznał za obciążające administratora, a które zostały uznane za okoliczności łagodzące.
Za przesłanki obciążające administratora organ uznał 6 przesłanek:
- Wagę i charakter naruszenia uznając, że ujawnienie numeru PESEL wraz z innymi danymi ma znaczą wagę i poważny charakter.
- Ujawnienie numeru PESEL miało również wpływ na uznanie, że kategoria ujawnionych danych powoduje wysokie ryzyko dla praw lub wolności osób, co również obciąża administratora.
- Organ uznał, że czas trwania naruszenia również obciąża administratora. Administrator w dalszym ciągu nie dokonał prawidłowego zgłoszenia naruszenia ani zawiadomienia osób, których dotyczyło naruszenie.
- Uznano, że administrator w niewystarczający sposób współpracował z urzędem.
- Stwierdzone naruszenie miało charakter umyślnego.
- Również fakt, że organ dowiedział się o naruszeniu ze skargi, która wpłynęła od osób, których dotyczyło naruszenie, a nie od administratora, został uznany za obciążającą okoliczność.
Niewielka liczba poszkodowanych osób oraz działania podjęte przez administratora w celu zminimalizowania szkody zostały uznane za okoliczności łagodzące. Co ciekawe, organ przedstawił również procent jaki stanowi nałożona kara wobec rocznego całkowitego światowego obrotu przedsiębiorstwa. Z przedstawionych przez organ wyliczeń nałożona kara wynosi jedynie „ok. 0,011 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jednocześnie warto podkreślić, że kwota nałożonej kary (363 832,00 zł) to jedynie 0,55 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 próg 2 % liczony od całkowitego rocznego obrotu – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia”.
Uczmy się na błędach innych
Omówiona decyzja wskazuje jasno, że ujawnienie numeru PESEL, a tym bardziej wraz z innymi danymi stanowi naruszenie danych osobowych. Co więcej jest to naruszenie, którego ryzyko powinno zostać ocenione, jako wysokie. W związku z czym konieczne jest nie tylko dokonanie zgłoszenia naruszenia do organu, ale również powiadomienia osób, których dane dotyczą.
Co więcej urząd wskazał w decyzji, że zmaterializowanie ryzyka nie jest konieczne do stwierdzenia, że jest ono wysokie. Sama możliwość wystąpienia negatywnych konsekwencji dla prawa lub wolności osób jest wystarczająca.
Warto zwracać uwagę na sytuacje, w których nie powiadamiamy organu o naruszeniu, o którym organ może dowiedzieć się z innego źródła np. ze skargi podmiotu danych. Zasadna może się stać ponowna analiza naruszenia w celu ocenienia, czy wykonanie zawiadomienia nie jest jednak konieczne, w przypadku kiedy istnieje duża szansa, że podmiot danych poweźmie wiedzę, że coś nieprawidłowego mogło stać się z jego danymi (np. nie otrzyma dokumentacji, której się spodziewa). W przypadku bowiem odmiennej oceny UODO co do przeprowadzonej analizy przez administratora, brak zawiadomienia podmiotów danych stanowi przesłankę obciążającą w przypadku nałożenia kary.
Pełna treść decyzji: https://uodo.gov.pl/decyzje/DKN.5131.16.2021
