Prezes Urzędu nałożył na Bank Millennium administracyjną karę pieniężną w związku z tym, że bank nie zrealizował spoczywających na nim, jako administratorze, obowiązków związanych z naruszeniem ochrony danych osobowych. Doszło do niego w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi klientów banku, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.

NSA potwierdził argumentację UODO w sprawie Banku Millennium

O zaistniałym zdarzeniu UODO dowiedział się ze skargi, jaka wpłynęła na bank. Administrator uznał bowiem, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował obowiązku związanego z powiadomieniem osób, których dane dotyczą w sposób zgodny z RODO. Zaniechanie zawiadomienia o naruszeniu organu nadzorczego oraz zawiadomienia osób, których dane dotyczą było przyczyną nałożenia kary – wyjaśnia UODO w komunikacie.

Bank Millennium złożył na decyzję Prezesa UODO skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie. WSA w swoim wyroku nie miał jednak wątpliwości, że incydent, którego dotyczyło postępowanie, stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO (naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych).

NSA staje po stronie UODO

Co więcej, bank nie posiadał informacji o tym, co się stało z wyżej wymienioną przesyłką – i zdaniem WSA oznaczało to jeszcze mocniejsze potwierdzenie, że doszło do naruszenia przepisów o ochronie danych osobowych. W opinii Sądu organ nadzorczy prawidłowo również uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. WSA podkreślił poza tym, że bank jako administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolności przyjął średni poziom tego ryzyka, przez co właśnie co najmniej powinien dokonać zgłoszenia do UODO.

W związku z wyrokiem WSA Bank Millennium złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, wnosząc o uchylenie wyroku w całości. Zaznaczył w niej m.in., że WSA zastosował błędną wykładnię prawa, przyjmując, że bank był zobowiązany do zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia podmiotów danych o naruszeniu, podczas gdy w chwili zagubienia przesyłki to firma kurierska sprawowała władztwo nad przesyłką i w konsekwencji była administratorem danych.

Bank nie zgodził się także z administracyjną karą pieniężną, nałożoną przez prezesa UODO, stwierdzając, że WSA bez analizy przesłanek przyjął, że kara ta jest skuteczna, proporcjonalna i odstraszająca. Argumenty te nie przekonały jednak NSA, który oddalił skargę Banku Millenium.