GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Kto odpowiada za zaginioną przesyłkę?

Zaginiona przesyłka na wznoszącej się fali

Kto odpowiada za zaginioną przesyłkę?

Zaginiona paczka a obowiązki administratora

Zagubienie przesyłki przez pocztę jest często dużą bolączką dla poszkodowanego. Jak pokazał najnowszy wyrok WSA w Warszawie oddalający skargę Banku Millenium S.A. na decyzje UODO, obowiązki administratora w takim wypadku nie powinny być ignorowane.

Zaginiona przesyłka

Sprawa rozpoczęła się gdy firma świadcząca usługi kurierskie zagubiła przesyłkę bankową nadaną przez bank. W tej przesyłce znajdowały się dokumenty bankowe zawierające takie dane jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny klienta banku. Administrator danych, jakim był bank, po tym zdarzeniu uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie i kuriozalnie nie zgłosił faktu naruszenia do UODO. O całym zdarzeniu UODO dowiedziało się później na skutek skargi.

 Postępowanie skargowe i odwołanie

W wyniku przeprowadzonego postępowania UODO uznał, że do naruszenia doszło a administrator nie spełnił obowiązków spoczywających na ADO. Urząd nałożył na bank administracyjną karę pieniężną, od której bank odwołał się do WSA w Warszawie.

Czy zagubienie paczki to naruszenie?

Pierwszą kwestia jaką zajął się sąd, było ustalenie czy rzeczywiście doszło do naruszenia ochrony danych osobowych.  Jak stwierdził skład orzekający, w wyniku zagubienia przesyłki doszło do naruszenia bezpieczeństwa, które mogło skutkować możliwością nieuprawnionego ujawnienia danych osobowych. Bank utracił nad nimi kontrolę, ponieważ paczka nie została odnaleziona. Jak podkreślił WSA z naruszeniem nie mamy do czynienia tylko wówczas, gdy administrator ma pewność, że z danymi nie zapoznała się osoba nieuprawniona, a tutaj tak nie było.

Bułgarski Organ nakłada karę na bank

Obowiązki administratora a naruszenie

W tej sprawie bank powinien dokonać co najmniej zawiadomienia UODO o naruszeniu, czego nie uczynił. Co ważne, obowiązek zawiadomienia wyszedł z analizy ryzyka jaką przeprowadził sam bank (poziom średni), który następnie zaniechał tego obowiązku.

Administrator – bank czy poczta?

Kolejną, niezwykle ważną dla praktyki kwestią jaką zajął się sąd było ustalenie, czy w danej sprawie administratorem danych osobowych był bank, czy operator pocztowy. Sąd potwierdził jednoznacznie, że administratorem danych jest bank, gdyż to on określił cele i sposoby przetwarzania danych. Jako nadawca przesyłki tylko on wiedział, co dokładnie się w niej znajduje. Firma świadcząca usługi kurierskie była administratorem jedynie w zakresie danych, które widniały na kopercie, a które są niezbędne do prawidłowego dostarczenia przesyłki.

Wnioski na przyszłość

Podsumowując, można powiedzieć, że ignorowanie obowiązków wynikających z wystąpienia naruszenia jest złym pomysłem. Obowiązek notyfikacji organu nadzorczego o naruszeniu, gdy jest to wymagane, powinien być skrupulatnie zrealizowany. Dodatkowo WSA potwierdza stanowisko UODO, że administratorem danych osobowych znajdujących w przesyłce jest ich nadawca, w tym wypadku bank. Operator pocztowy (także kurier) odpowiadają jedynie za dane osobowe zawarte na etykiecie przesyłki. To jest kluczowa konkluzja dla całej branży kurierskiej.

Wyrok Wojewódzkiego Sądu Administracyjny w Warszawie z 1 lipca 2022 r. (sygn. akt II SA/Wa 4143/21).