Kurier zgubił list klienta z banku. NSA zdecydował

Chodzi o nałożoną na Bank Millennium przez UODO karę w wysokości 350 tys. zł za to, że Bank "nie zrealizował spoczywających na nim, jako administratorze, obowiązków związanych z naruszeniem ochrony danych osobowych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi klientów banku".

Urząd dowiedział się o zdarzeniu ze skargi, którą złożono na bank.

Według komunikatu UODO bank miał bowiem uznać, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował obowiązku związanego z powiadomieniem osób, których dane dotyczą w sposób zgodny z RODO.

Sprawą najpierw zajął się Wojewódzki Sąd Administracyjny w Warszawie, który podtrzymał decyzję Prezesa UODO.

"Bank nie posiadał informacji o tym, co się stało z ww. przesyłką - i zdaniem WSA oznaczało to jeszcze mocniejsze potwierdzenie, że doszło do naruszenia przepisów o ochronie danych osobowych. W opinii Sądu organ nadzorczy prawidłowo również uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych" - podkreślił Urząd w komunikacie.

Po wyroku WSA Bank Millennium złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, wnosząc o uchylenie wyroku w całości.

Zaznaczył w niej m.in., że WSA zastosował błędną wykładnię prawa, przyjmując, że bank był zobowiązany do zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia podmiotów danych o naruszeniu, podczas gdy w chwili zagubienia przesyłki to firma kurierska sprawowała władztwo nad przesyłką i w konsekwencji była administratorem danych - relacjonuje UODO.

Dodał, że bank nie zgadzał się również z nałożoną na niego karą. NSA oddalił jednak skargę banku.