O zgubieniu korespondencji zawierającej dane osobowe klientów przez firmę kurierską klienci ci powinni zostać zawiadomieni. Obowiązek ten spoczywał na nadawcy czyli Banku Millenium. Do takich wniosków doszedł Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 1 lipca 2022 r. II SA/Wa 4143/21.
Przypomnijmy, że na Bank Millennium S.A. została nałożona kara za niezawiadomienie podmiotów danych o ich wycieku. Do zdarzenia doszło w następstwie zgubienia przez firmę kurierską korespondencji zawierającej dane osobowe klientów banków. Były to następujące dane:
Kara w wysokości ponad 363 tys. zł została wymierzona z uwagi na rezygnację z zawiadomienia, które z kolei była podyktowana niewłaściwą oceną ryzyka związanego z naruszeniem przez bank. Więcej na ten temat przeczytasz tutaj>>
Kara ta jak na polskie realia była stosunkowo wysoka. Teraz zaś skarga na decyzję Prezesa UODO została oddalona przez Wojewódzki Sąd Administracyjny w Warszawie, a w konsekwencji wspomnianą karę podtrzymano. Jakie wnioski można wysnuć z uzasadnienia sądu? Otóż w ocenie sądu niewątpliwie doszło do naruszenia ochrony danych.
Utrata kontroli nad przetwarzanymi dokumentami osobowymi w wyniku ich zagubienia przez podmiot przetwarzający jest naruszeniem ochrony danych. Naruszeniem ochrony danych może być także przypadek, w którym administrator nie może wykluczyć dostępu osób nieuprawnionych do tych danych z uwagi na brak informacji.
Sąd wskazał, że powstało w tej sytuacji ryzyko nieuprawnionego ujawnienia danych osobowych, a więc dane osobowe straciły poufność. Tym bardziej, że bank do tej pory nie ma informacji, co stało się z dokumentami znajdującymi się w zaginionej przesyłce. Nie może więc z całą pewnością stwierdzić, że nikt nieuprawniony nie uzyskał do nich dostępu.
Sąd ocenił też, że ryzyko dla praw i wolności podmiotów danych w następstwie opisywanego naruszenia było wysokie. Ocena przeprowadzona przez bank była więc niewłaściwa i skutkowała niedoszacowaniem ryzyka.
W sprawie poruszono także wątek administratora. Czy był nim bank, czy też operator pocztowy (a właściwie firma kurierska)? Rozstrzygnięcie tej kwestii jest kluczowe w kontekście obowiązku zgłoszenia naruszenia.
Obowiązek zgłoszenia naruszenia do Prezesa UODO i podmiotów danych spoczywa na administratorze a nie podmiocie przetwarzającym. Przeczytaj także: Zgłoszenie naruszenia ODO – do organu nadzorczego i podmiotów danych (porównanie)
W ocenie sądu to Bank Millennium był administratorem danych osobowych, których dotyczyło naruszenie. Po stronie banku leżało bowiem określenie celów i sposób przetwarzania danych osobowych znajdujących się wewnątrz korespondencji. Firma kurierska nie miała nawet dostępu do tych danych.
Firma kurierska jest administratorem danych osobowych jedynie w zakresie danych osobowych widniejących w miejscach dla niej dostępnych np. na kopercie.
Dlatego to właśnie bank powinien zawiadomić o naruszeniu podmioty danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
