fbpx
,

Decyzja Prezesa Urzędu Ochrony Danych Osobowych utrzymana. Bank zobowiązany do zapłaty kary.

Bank, wobec którego skierowana została decyzja, korzystając z usług operatora pocztowego, przesłał dokumenty klienta, które następnie zostały zagubione w doręczeniu. Po przeprowadzeniu analizy ryzyka, uznano, że naruszenie nie powoduje konieczności zgłoszenia organowi nadzoru, czyli Prezesowi Urzędu Ochrony Danych Osobowych.

Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. oddalił skargę Banku Milenium S.A. od decyzji Prezesa Urzędu Ochrony Danych Osobowych, wymierzającej karę pieniężną, z tytułu naruszenia Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych), czyli „RODO”.

Sprawa ta jest interesująca z co najmniej dwóch przyczyn, bo w naszej praktyce zauważamy niesłabnące wątpliwości, dotyczące z jednej strony tego, czy jako administrator jesteśmy zobowiązani, w przypadku naruszenia, do zgłoszenia tego naruszenia do organu, a z drugiej tego, kto tak naprawdę jest administratorem, a kto ewentualnie – podmiotem przetwarzającym dane osobowe.

Kto jest administratorem, a kto podmiotem przetwarzającym dane osobowe?

Opisywany casus pozwala nam nieco lepiej rozumieć kształtującą się linię orzeczniczą w tego typu sprawach.

Zdaniem Wojewódzkiego Sądu Administracyjnego, zaistniały stan naruszenia, z uwagi na potencjalne zagrożenie poufności danych (z racji zagubienia przesyłki zawierającej dane klienta, nie było wiadome, czy podmioty nieupoważnione nie były w stanie zapoznać się z tymi danymi), bank zobowiązany był do dokonania zgłoszenia naruszenia organowi, jak również osobie, której dane dotyczyły. Zaniechanie w tym zakresie, uzasadniało nałożenie kary administracyjnej, z uwagi na fakt, że art. 33 RODO nakłada na administratora obowiązek dokonania zgłoszenia, a dyrektywy kary, zawarte w art. 83 RODO, przewidują karę pieniężną również za naruszenie w/w art. 33.

Z drugiej strony, sąd rozstrzygnął, zgodnie ze stanowiskiem organu, że w przypadku nadania przez bank przesyłki pocztowej zawierającej dane osobowe klienta, to bank pozostaje administratorem danych, bo to on decyduje o celach i sposobach przetwarzania danych osobowych.

W tym zakresie, rozstrzygnięcie to jest o tyle istotne, że dotyczy szerokiego grona przedsiębiorców, korzystających przy przetwarzaniu danych z usług operatorów pocztowych, zatem wiedza w tym zakresie, może uchronić ich przed negatywnymi skutkami naruszenia bezpieczeństwa danych, ale też stanowić drogowskaz, co do konieczności podjęcia określonych działań przewidzianych przez przepisy.

Jeżeli jesteście Państwo zainteresowani tematem ochrony danych osobowych albo chcecie przekonać się, czy prowadząc firmę, prawidłowo podchodzicie do zagadnienia ochrony danych, zapraszamy do kontaktu.

autor: radca prawny Paweł Skuza