NSA potwierdził argumentację Prezesa UODO w sprawie Banku Millennium

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku Millennium na wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, który podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą na bank administracyjną karę pieniężną w wysokości ponad 350 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych oraz niezawiadomienie o nim osób, których dane dotyczą. Tym samym NSA podzielił argumentację Prezesa UODO.

Prezes Urzędu nałożył na Bank Millennium administracyjną karę pieniężną w związku z tym, że Bank nie zrealizował spoczywających na nim, jako administratorze, obowiązków związanych z naruszeniem ochrony danych osobowych, do którego doszło w wyniku zgubienia przez podmiot świadczący usługi kurierskie korespondencji nadanej przez bank z danymi osobowymi klientów banku, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zaistniałym zdarzeniu UODO dowiedział się ze skargi, jaka wpłynęła na bank. Administrator uznał bowiem, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował obowiązku związanego z powiadomieniem osób, których dane dotyczą w sposób zgodny z RODO. Zaniechanie zawiadomienia o naruszeniu organu nadzorczego (naruszenie art. 33 ust. 1 RODO) oraz zawiadomienia osób, których dane dotyczą (naruszenie art. 34 ust. 1) było przyczyną nałożenia kary.

Bank Millennium złożył na decyzję Prezesa UODO skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.

WSA w swoim wyroku nie miał jednak wątpliwości, że incydent, którego dotyczyło postępowanie, stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO (naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych). Co więcej, bank nie posiadał informacji o tym, co się stało z ww. przesyłką – i zdaniem WSA oznaczało to jeszcze mocniejsze potwierdzenie, że doszło do naruszenia przepisów o ochronie danych osobowych. W opinii Sądu organ nadzorczy prawidłowo również uznał, że to bank jest administratorem danych osobowych, których dotyczyło naruszenie. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. WSA podkreślił poza tym, że bank jako administrator w przeprowadzonej ocenie ryzyka naruszenia praw lub wolności przyjął średni poziom tego ryzyka, przez co właśnie co najmniej powinien dokonać zgłoszenia do UODO.

W związku z wyrokiem WSA Bank Millennium złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, wnosząc o uchylenie wyroku w całości. Zaznaczył w niej m.in., że WSA zastosował błędną wykładnię prawa, przyjmując, że bank był zobowiązany do zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia podmiotów danych o naruszeniu, podczas gdy w chwili zagubienia przesyłki to firma kurierska sprawowała władztwo nad przesyłką i w konsekwencji była administratorem danych. Bank nie zgodził się także z administracyjną karą pieniężną, nałożoną przez Prezesa UODO, stwierdzając, że WSA bez analizy przesłanek przyjął, że kara ta jest skuteczna, proporcjonalna i odstraszająca.

Argumenty te nie przekonały jednak NSA, który oddalił skargę Banku Millenium.

Wyrok NSA: sygn. III OSK 2416/22

DKN.5131.16.2021