Firma kurierska zgubiła przesyłkę, w której znajdowały się dane osobowe klientów banku. Organ uznał, że nie zapewniono odpowiedniej ochrony przed przypadkową utratą lub zniszczeniem danych i udzielił bankowi upomnienia. Wojewódzki Sąd Administracyjny w Warszawie potwierdził, że w przypadku nieprawidłowości w dostarczaniu przesyłek, obowiązek ochrony interesów podmiotu danych ciąży na nadawcy.
Oddział banku nadał do centrali przesyłkę, w której znajdowały się dokumenty zawierające dane osobowe (imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny klienta). Przesyłka nie dotarła do adresat, więc bank podjął działania w celu wyjaśnienia opóźnienia w doręczeniu. Następnie złożono oficjalną reklamację. Firma kurierska poinformowała, że podjęła próby wyjaśnienia sprawy, ale po miesiącu poszukiwań nie zdołała zlokalizować przesyłki i porzuciła dalsze starania.
Organ udzielił bankowi upomnienia
Osoby, których dane figurowały na zgubionych dokumentach wniosły skargę do Prezesa Urzędu Ochrony Danych Osobowych. Bank wyjaśnił, że podjął już działania naprawcze, by podobna sytuacja nie powtórzyła się w przyszłości. Organ uznał jednak, że instytucja nie zapewniła odpowiedniej ochrony danych osobowych przed ich niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą. W konsekwencji doszło do utraty poufności danych osobowych skarżących, którzy tym samym zostali narażeni na stres i uciążliwości. Stracili oni bowiem kontrolę nad swoimi danymi i mieli prawo obawiać się skutków tzw. „utraty tożsamości” ze wszystkimi negatywnymi skutkami tego zdarzenia. Mając powyższe na uwadze, organ udzielił bankowi upomnienia. Wydana w tej sprawie decyzja została zaskarżona.
Na administratorze spoczywają określone obowiązki
Sprawą zajął się Wojewódzki Sąd Administracyjny w Warszawie, który wskazał, że zgodnie z art. 5 ust. 1 lit. f RODO, dane osobowe muszą być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Na podstawie art. 32 ust. 1 RODO, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych. Z kolei w myśl art. 32 ust. 2 RODO, oceniając czy stopień bezpieczeństwa jest odpowiedni, należy uwzględnić ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowej utraty danych osobowych. Ponadto zgodnie z art. 24 ust. 1 RODO, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, by przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Na gruncie niniejszej sprawy, sąd uznał, że bank nie wypełnił swoich obowiązków, co w konsekwencji skutkowało naruszeniem zasady poufności.
Bank nie sprawował należytego nadzoru
WSA wskazał, że to bank był administratorem danych osobowych, które zostały zgubione, a więc był zobowiązany do zrealizowania obowiązków określonych w art. 24 ust. 1 oraz art. 32 ust. 1 i 2 RODO. W przypadku nieprawidłowości w dostarczaniu przesyłek, obowiązek ochrony interesów podmiotu danych ciąży bowiem na nadawcy, który znając zawartość utraconej korespondencji, jest w stanie ocenić wynikające z tego zagrożenia. Natomiast firma kurierska może wykonywać obowiązki administratora, tylko wyłącznie w odniesieniu do danych osobowych nadawców i adresatów przesyłek. Tym samym organ miał podstawy przyjąć, że bank nie sprawował w pełni należytego nadzoru oraz w sposób niewystarczający dokonał weryfikacji doboru i oceny skuteczności stosowanych środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Sąd podkreślił, że z pomocą zewnętrznych dostawców, bank obsługiwał rocznie ponad 12 milionów przesyłek zawierających dane osobowe klientów. Oznacza to, że powinien on skuteczniej oraz na bieżąco oceniać i monitorować potencjalne zagrożenia dla praw i wolności swoich klientów. Mając powyższe na uwadze, WSA oddalił skargę.
Wyrok WSA w Warszawie, sygn. akt II SA/Wa 3211/21
📌Potrzebujesz pomocy prawnej? Skontaktuj się z nami
Każda sprawa prawna – nawet pozornie prosta – może kryć w sobie istotne ryzyka, o których łatwo zapomnieć bez specjalistycznej wiedzy. Przepisy często są niejednoznaczne, a ich interpretacja zależy od konkretnego stanu faktycznego, dotychczasowego orzecznictwa oraz przyjętej strategii procesowej.
Zanim podejmiesz jakiekolwiek kroki, warto skonsultować się z doświadczonym prawnikiem. Przeanalizujemy Twoją sytuację, wskażemy realne możliwości działania oraz pomożemy wybrać rozwiązanie najlepiej dopasowane do Twojego przypadku. Nasi eksperci z i Kancelarii Prawnej „Prawnik Warszawa” wielokrotnie wspierali osoby, które uważały, że znajdują się w sytuacji bez wyjścia.
📞 665-444-245
📧 kontakt@prawnikwaw.com
Nie odkładaj decyzji na później – napisz lub zadzwoń już dziś. Pierwszym krokiem do rozwiązania problemu prawnego jest rozmowa z prawnikiem, który rzetelnie oceni Twoją sprawę.
🔹 Publikacja została przygotowana na podstawie aktualnego stanu prawnego i orzecznictwa przez ekspertów z Kancelarii Prawnej „Prawnik Warszawa”. W przypadku jakichkolwiek wątpliwości zalecamy indywidualną konsultację z prawnikiem.
Podstawa prawna:
Polecamy inne nasze publikacje w zakresie zmian prawnych. Aby wejść w zakładkę „Prawo co dnia” kliknij poniższy obrazek.