Administratorzy woleliby uniknąć sytuacji, w których muszą podejmować decyzję, czy zgłosić naruszenie ochrony danych osobowych do organu nadzorczego. Przypadki utraty przesyłek poleconych z ważnymi dokumentami są jednymi z sytuacji, które będą wymagały rozstrzygnięcia odnośnie zgłoszenia i podjęcia innych działań. Oczywiście, nie każda taka sytuacja wymaga zgłoszenia, wszystko zależy od wyniku oceny ryzyka. W lipcu 2022 r. Wojewódzki Sąd Administracyjny w Warszawie, na skutek skargi złożonej przez administratora danych, wydał wyrok, w którym orzekł, że administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on jako nadawca posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada. To bank w rozpatrywanej sprawie, a nie operator pocztowy określał cele, jak i sposoby przetwarzania danych. Dlatego też nadawca musi wypełnić obowiązki związane z naruszeniem. Polski organ nadzorczy (UODO) w tej sprawie nałożył karę administracyjną w wysokości 363 tys. zł i nakazał powiadomienie o incydencie osób, których dane dotyczą, przez administratora danych (bank).
- Administrator danych w tej sprawie (bank), pomimo wcześniejszego zgłaszania identycznych incydentów i, pomimo samodzielnej oceny, że ryzyko naruszenia praw osób, których dane dotyczą, jest średnie, zdecydował się nie zgłaszać utraty korespondencji poleconej wysyłanej za pośrednictwem kuriera.
- Przesyłka wysłana przez bank zawierała dane osobowe takie jak imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) wnioskodawców.
- Bank, opierając się na europejskiej metodologii ENISA, ocenił incydent jako mogący powodować średnie ryzyko naruszenia praw i wolności osób, których dane dotyczą. Bank zdecydował się nie zgłaszać naruszenia do organu nadzorczego i skierował do osób, których dane dotyczą, ogólny list z opisem, jakie dokumenty zaginęły.
W niniejszej sprawie sąd, opierając się na ustaleniach organu nadzorczego, poddał głębszej analizie cztery kwestie:
- Podmiot odpowiedzialny za ochronę danych – w zgubionej przesyłce znajdowały się dokumenty bankowe i nie ma wątpliwości, że administratorem danych na nich widniejących jest bank, który też nadał przesyłkę i to właśnie on był zobowiązany do wypełnienia ciążących na nim obowiązków administratora danych. Wynika to z faktu, iż to bank, a nie operator pocztowy, określił cele, jaki i sposoby przetwarzania danych, które zostały objęte wyżej wymienionym naruszeniem. W przypadku nieprawidłowości w doręczeniu przesyłki obowiązek ochrony interesów osób, których dane dotyczą, z punktu widzenia naruszenia ich praw lub wolności podmiotu, spoczywa na nadawcy przesyłki, który znając treść utraconej korespondencji jest w stanie ocenić ryzyko powstałe dla osoby, której dane dotyczą. Operator pocztowy i firma kurierska mogą wykonywać obowiązki administratora danych, w rozumieniu przepisów RODO, ale tylko w odniesieniu do danych osobowych nadawców i adresatów przesyłek.
- Brak konieczności, aby nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób. Jeśli istnieje takie ryzyko, to w konsekwencji oznacza to również potencjalne ryzyko naruszenia praw lub wolności osób, których dane dotyczą. W tym przypadku organ ocenił to ryzyko za wysokie, biorąc pod uwagę zakres danych.
- Informacja wysłana do osób fizycznych musi zawierać elementy, o których mowa w art. 34 ust. 2 RODO. Administrator danych wysłał pismo do osób fizycznych, ale nie zawierało ono opisu możliwych konsekwencji przedmiotowego naruszenia ochrony danych osobowych, jak również informacji o nazwisku i danych kontaktowych inspektora ochrony danych lub oznaczenia innego źródła, z którego można uzyskać więcej informacji. Brakowało w nim również odniesienia do środków bezpieczeństwa podjętych przez administratora w celu zminimalizowania ryzyka ewentualnego naruszenia w przyszłości.
- Ustalając wysokość kary pieniężnej organ wziął pod uwagę m.in. następujące okoliczności: (i) długi czas trwania naruszenia – od momentu powzięcia przez bank wiadomości o naruszeniu ochrony danych osobowych do dnia wydania decyzji upłynęły ponad 2 lata, (ii) umyślny charakter naruszenia – bank posiada wysoki poziom wiedzy w zakresie ochrony danych osobowych, obejmujący wiedzę o konsekwencjach zidentyfikowania naruszenia ochrony danych osobowych. Posiadając taką wiedzę, po przeprowadzeniu analizy ryzyka, bank podjął świadomą i swobodną decyzję o niezgłoszeniu naruszenia i niepowiadomieniu osób, których dane dotyczą, (iii) niezadowalającą współpracę organu z administratorem danych w toku postępowania administracyjnego.
Okolicznościami łagodzącymi wpływającymi na ostateczną wysokość kary były: (i) liczba osób, których dane dotyczyły – dwie osoby. Bank przetwarza dane osobowe bardzo dużej liczby klientów, więc dwie osoby, których to dotyczyło, należy uznać za niewielką liczbę (ii) działania podjęte przez administratora w celu zminimalizowania szkody osób, których dane dotyczą – wysłanie informacji do osób (nie w pełni zgodne z RODO), (iii) brak wcześniejszych naruszeń – organ nie stwierdził wcześniejszych naruszeń przepisów RODO przez bank.
Podsumowanie:
Administratorem danych zawartych w dokumentach zawartych wewnątrz korespondencji jest podmiot je wysyłający i tylko on, jako nadawca ma wiedzę, jakie dane są przekazywane przesyłką. Operator pocztowy lub firma kurierska są administratorami, ale tylko danych widniejących na kopercie tj. danych nadawców i adresatów, danych w zakresie niezbędnym do prawidłowego doręczenia przesyłki. Administratorzy powinni zwracać uwagę na analizę ryzyka w związku z ujawnionymi incydentami i podejmować działania zgodne z wynikami takiej analizy. Wysłanie niepełnego powiadomienia do osoby, której dane dotyczą może być pomocne i będzie brane pod uwagę jako dodatkowa okoliczność łagodząca, ale administrator powinien najpierw określić, jaki cel chce osiągnąć wysyłając takie pismo.
Renata Bugiel
Adwokat