Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), wpłynęła skarga dwóch osób na nieprawidłowości w procesie przetwarzania danych przez Bank Millennium S.A. (dalej: Bank). Nieprawidłowości miały polegać na zagubieniu dokumentacji zawierającej dane osobowe klientów, a przekazanej Bankowi w związku z procedurą założenia konta bankowego.
W treści skargi wskazano, że w maju 2019 r. Skarżący zostali powiadomieni o zagubieniu dokumentacji zawierającej ich dane osobowe. Skarżący udali się do Banku w celu wyjaśnienia sprawy i uzyskania informacji o tym jak mogą się ustrzec przed ewentualnymi negatywnymi konsekwencjami. Skarżący takich informacji nie uzyskali, w związku z tym dokonali w placówce Banku zgłoszenia reklamacyjnego.
Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119 s. 1; dalej: RODO) zwrócił się do Banku o wyjaśnienie, czy w związku z zaistniałym zdarzeniem Bank zgłosił, w trybie art. 33 RODO, Prezesowi UODO naruszenie ochrony danych osobowych w powyższym zakresie, a jeśli tak, to kiedy i czy Bank dopełnił obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, zgodnie z art. 34 ust. 1 i 2 RODO. Prezes UODO zwrócił się także o wskazanie, jakich kategorii danych dotyczyło naruszenie, jakie są jego możliwe konsekwencje dla osób, których dane dotyczą oraz czy, a jeśli tak, to jakie Bank zastosował środki zaradcze mające na celu zminimalizowanie ewentualnych negatywnych skutków zaistniałego naruszenia oraz jakie Bank przedsięwziął środki mające na celu niedopuszczenie do zaistnienia w przyszłości naruszeń o podobnym charakterze.
W odpowiedzi Bank przekazał informacje, że oddział Banku nadał do Centrali przesyłkę, w której znajdowały się następujące dokumenty: pełnomocnictwo udzielone Skarżącemu przez Skarżącą, umowa konta oszczędnościowego profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych, umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty, ankieta inwestycyjna, wynik ankiety inwestycyjnej. Na wymienionych dokumentach znajdowały się w m.in. poniższe dane: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) Skarżącej oraz imię, nazwisko i PESEL. Z dodatkowych wyjaśnień wynika, że przesyłka zawierająca wskazane dokumenty nie dotarła do Centrali Banku. Bank złożył oficjalną reklamację w związku z brakiem doręczenia przesyłki.
Biorąc pod uwagę powyższe, w tym zakres danych, których dotyczył przedmiotowy incydent, Bank, zgodnie z metodyką opartą na europejskiej metodologii ENISA, ocenił to zdarzenie jako mogące powodować średnie ryzyko naruszenia praw i wolności Skarżących, dlatego też Bank nie zgłosił ww. naruszenia do Prezesa UODO oraz nie zawiadomił osób o naruszeniu ochrony ich danych osobowych. Zdaniem Prezesa UODO Skarżącym wskazano jedynie bardzo ogólne informacje dotyczące charakteru naruszenia (bez wskazania kategorii danych objętych naruszeniem) oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając skorzystanie Skarżącym z bezpłatnej usługi Alert. Informacja ta nie zawierała natomiast żadnych informacji o konsekwencjach z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych oraz informacji, na które wskazuje art. 33 ust. 3 lit. b RODO. W ocenie Prezesa UODO brak w niej również odniesienia się do środków bezpieczeństwa zastosowanych przez Bank w celu zminimalizowania ryzyka wystąpienia naruszenia ponownie.
Z uzasadnienia decyzji Prezesa UODO
Naruszenie poufności danych, jakie wystąpiło w omawianej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na zagubieniu dokumentacji zawierającej dane osobowe klientów Banku powoduje, zdaniem Prezesa UODO, wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Powyższe oznacza, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych naruszeniem. Bank, w ocenie Prezesa UODO, nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z obowiązkiem wskazanym w z art. 33 ust. 1 RODO oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, w myśl art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank tych przepisów.
Decydując o nałożeniu na Bank administracyjnej kary pieniężnej Prezes UODO, stosownie do art. 83 ust. 2 lit. a RODO – art. 83 ust. 2 lit. k RODO, wziął m.in. pod uwagę następujące okoliczności sprawy.
Po pierwsze, stwierdzone w omawianej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych do dnia wydania decyzji upłynęły ponad 2 lata, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia osób, których dane dotyczą, w sposób prawidłowy o naruszeniu. Warto wskazać, że Bank podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą (ocena zdarzenia w oparciu o metodologię ENISA).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Banku. Ocena ta dotyczy reakcji Banku na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
O naruszeniu ochrony danych osobowych stanowiących przedmiot sprawy (o zagubieniu przez firmę kurierską dokumentacji, zawierającej dane osobowe przetwarzane przez Bank działający jako administrator tychże danych) Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą (zgodnie z art. 33 i art. 34 RODO). Okoliczność braku informacji o naruszeniu ochrony danych pochodzących od administratora zobowiązanego do przekazania takiej informacji Prezesowi UODO zostało uznane za obciążającą dla tego administratora.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary.
Za taką okoliczność uznano następujące zdarzenie polegające na tym, że Bank przekazał osobom, których dane dotyczą, pewne informacje dotyczące naruszenia, w tym jego charakter i wskazał środki w celu zminimalizowania jego ewentualnych negatywnych skutków. Takie działanie Banku było jednak niewystarczające.
Represyjny i prewencyjny charakter kary
Po raz kolejny Prezes UODO podkreślił, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank, który przetwarza dane osobowe w sposób profesjonalny i na masową skalę, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.
Administracyjna kara pieniężna ma, zdaniem Prezesa UODO, pełnić funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Bank przepisów RODO. Będzie również spełniać funkcję prewencyjną, ponieważ zarówno Bankowi, jak i innym administratorom danych, ma zwrócić uwagę na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ich ograniczenie.
Prezes UODO w omawianej decyzji wyraźnie wskazał, że nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło ryzyko zaistnienia takiej sytuacji, co potencjalnie oznacza wystąpienie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. W ramach takiej analizy, należy również wziąć pod uwagę kontekst i zakres danych osobowych.
W decyzji zostało także wyraźnie podkreślone, że numer PESEL podlega wyjątkowej ochronie na gruncie RODO i jest daną o szczególnym charakterze. Jest on ściśle połączony ze sferą prywatną osoby fizycznej i podlega on ochronie m.in. na gruncie art. 87 RODO. Ochrony informacji tego typu wymaga się od podmiotów zaliczanych do kategorii instytucji zaufania publicznego. Bank zakwalifikowano do takiej właśnie kategorii.
Bankowi ponadto nakazano (w terminie 3 dni od dnia doręczenia decyzji) zawiadomienie osób, których dotyczy omawiana sprawa, o naruszeniu ochrony ich danych osobowych w celu przekazania informacji wymaganych na gruncie art. 34 ust. 2 RODO.
