Stan faktyczny
Sprawa rozpoczęła się incydentem polegającym na zagubieniu korespondencji nadanej przez bank do klientów, zawierającej dokumenty obejmujące dane osobowe. Przesyłka została przekazana do doręczenia podmiotowi świadczącemu usługi kurierskie w ramach standardowej obsługi korespondencji bankowej. W dokumentach znajdowały się dane identyfikacyjne klientów, w tym imiona i nazwiska, numery PESEL, adresy zameldowania, a także informacje o charakterze finansowym, takie jak numery rachunków bankowych oraz wewnętrzne numery identyfikacyjne nadawane klientom przez bank.
Po uzyskaniu informacji o niedoręczeniu przesyłki bank podjął działania wyjaśniające wobec firmy kurierskiej, zmierzające do ustalenia jej losów. W toku tych czynności ustalono jedynie, że przesyłka została uznana za zagubioną. Nie udało się natomiast ustalić, czy dokumenty uległy zniszczeniu, czy też mogły trafić w posiadanie osób trzecich. Bank nie dysponował informacjami pozwalającymi jednoznacznie ocenić, czy doszło do nieuprawnionego dostępu do danych osobowych, ani czy dane te zostały wykorzystane.
W związku z zaistniałym zdarzeniem bank przeprowadził wewnętrzną ocenę ryzyka naruszenia praw lub wolności osób fizycznych, kwalifikując to ryzyko jako „średnie”. Na tej podstawie administrator uznał, że brak jest przesłanek do zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz do zawiadomienia osób, których dane dotyczyły, w sposób przewidziany w art. 34 RODO. Bank skoncentrował się przede wszystkim na czynnościach wewnętrznych oraz kontaktach z operatorem kurierskim.
Prezes Urzędu Ochrony Danych Osobowych nie został poinformowany o zdarzeniu przez administratora danych. Wiedzę o możliwym naruszeniu organ nadzorczy powziął dopiero w wyniku skargi złożonej przez jedną z osób, których dane osobowe znajdowały się w zagubionej korespondencji. Skarga ta stała się podstawą wszczęcia przez Prezesa UODO postępowania administracyjnego.
W toku postępowania organ nadzorczy ustalił zakres danych objętych incydentem, okoliczności przekazania korespondencji do doręczenia oraz działania podjęte przez bank po stwierdzeniu zagubienia przesyłki. Na tej podstawie Prezes UODO uznał, że doszło do naruszenia ochrony danych osobowych w rozumieniu RODO, a bank – jako administrator danych – nie zrealizował obowiązków wynikających z art. 33 ust. 1 oraz art. 34 ust. 1 RODO. Skutkowało to nałożeniem administracyjnej kary pieniężnej w wysokości ponad 350 tys. zł oraz zobowiązaniem banku do prawidłowego zawiadomienia osób, których dane dotyczyły.
Stan prawny
Podstawą prawną rozstrzygnięcia były przepisy ogólnego rozporządzenia o ochronie danych, w szczególności art. 4 pkt 12 RODO, definiujący pojęcie naruszenia ochrony danych osobowych; art. 33 ust. 1 RODO, regulujący obowiązek zgłoszenia naruszenia organowi nadzorczemu, oraz art. 34 ust. 1 RODO, dotyczący obowiązku zawiadomienia osób, których dane dotyczą, w przypadku gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności.
Spór koncentrował się wokół kwalifikacji zdarzenia jako naruszenia ochrony danych osobowych, ustalenia podmiotu odpowiedzialnego za wykonanie obowiązków wynikających z RODO oraz oceny, czy przyjęty przez bank poziom ryzyka uzasadniał odstąpienie od zgłoszenia naruszenia i zawiadomienia osób, których dane dotyczyły. Bank kwestionował również zasadność i proporcjonalność nałożonej administracyjnej kary pieniężnej.
Wojewódzki Sąd Administracyjny w Warszawie nie podzielił argumentacji banku. Uznał, że zagubienie przesyłki zawierającej dane osobowe, przy braku wiedzy co do jej dalszych losów, wypełnia definicję naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt. 12 RODO. W ocenie Sądu, niepewność co do tego, czy dane nie zostały ujawnione osobom nieuprawnionym, przemawiała za przyjęciem, że doszło do naruszenia wymagającego reakcji administratora. WSA wskazał również, że administratorem danych pozostawał bank, ponieważ to on określał cele i sposoby przetwarzania danych, niezależnie od faktu fizycznego przekazania przesyłki operatorowi kurierskiemu.
Sąd I instancji podkreślił ponadto, że skoro sam administrator przyjął w swojej analizie co najmniej średni poziom ryzyka naruszenia praw lub wolności osób fizycznych, to był zobowiązany do zgłoszenia naruszenia organowi nadzorczemu. Zaniechanie tego obowiązku, podobnie jak brak zawiadomienia osób, których dane dotyczyły, w trybie art. 34 RODO, zostało uznane za naruszenie przepisów rozporządzenia.
Naczelny Sąd Administracyjny oddalił skargę kasacyjną banku, podzielając argumentację WSA oraz Prezesa UODO. NSA nie zgodził się z twierdzeniem, że w momencie zagubienia przesyłki administratorem danych stał się podmiot kurierski. Wskazał, że odpowiedzialność administratora wynika z jego roli w procesie przetwarzania danych i nie jest uzależniona od faktycznego władztwa nad nośnikiem danych w danym momencie. Sąd nie dopatrzył się również podstaw do zakwestionowania oceny organu nadzorczego i WSA w zakresie wymiaru kary administracyjnej.
Komentarz
Omawiane rozstrzygnięcie ma kluczowe znaczenie praktyczne dla administratorów danych, w szczególności podmiotów realizujących masową korespondencję zawierającą dane osobowe. Naczelny Sąd Administracyjny potwierdził, że w realiach tej sprawy zagubienie przesyłki z danymi klientów, nawet jeżeli nastąpiło na etapie realizacji usługi przez podmiot trzeci, nie zwalniało banku z obowiązku dokonania samodzielnej oceny naruszenia oraz wykonania obowiązków wynikających z art. 33 i 34 RODO. Kluczowe znaczenie miało przy tym ustalenie, że to bank określał cele i sposoby przetwarzania danych zawartych w korespondencji.
Jednocześnie wyrok ten nie powinien być odczytywany jako ustanawiający generalną zasadę, zgodnie z którą nadawca przesyłki zawsze ponosi odpowiedzialność za dane osobowe utracone w toku świadczenia usług pocztowych lub kurierskich. Warto wskazać, że kwestia ustalenia administratora danych zawartych w przesyłce wymaga mimo wszystko każdorazowo pogłębionej analizy konkretnego stanu faktycznego, co potwierdza przełomowy wyrok NSA z 3.12.2025 r., III OSK 2593/22, w którym – na skutek wniesionej skargi kasacyjnej – uchylono wyrok WSA w Warszawie oraz decyzję Prezesa UODO. W sprawie tej NSA jednoznacznie wskazał, że Prezes UODO nie może poprzestać na samym ustaleniu, kto był nadawcą korespondencji, lecz jest zobowiązany zbadać, kto faktycznie pełnił rolę administratora danych osobowych zawartych w utraconej przesyłce. Sam fakt sporządzenia dokumentów zawierających dane osobowe i nadania ich za pośrednictwem operatora pocztowego nie jest wystarczający do automatycznego przypisania nadawcy statusu administratora danych.
NSA podkreślił również, że utrata przesyłki przez operatora pocztowego lub kurierskiego nie może prowadzić do mechanicznego przypisania odpowiedzialności nadawcy, zwłaszcza w sytuacji, gdy organ nadzorczy nie ustalił rzeczywistej roli poszczególnych podmiotów w procesie przetwarzania danych oraz zakresu ich decyzyjności. W tamtej sprawie Prezes UODO przyjął odpowiedzialność nadawcy bez przeprowadzenia takiej analizy, co zostało zakwestionowane przez Sąd.
Zestawienie obu rozstrzygnięć pokazuje, że odpowiedzialność za naruszenie ochrony danych osobowych w przypadku utraty przesyłek nie ma charakteru automatycznego i zależy od konkretnego modelu przetwarzania danych. O ile w sprawie Banku Millennium kluczowe było ustalenie, że bank pozostawał administratorem danych i sam przyjął co najmniej średni poziom ryzyka naruszenia praw lub wolności osób fizycznych, o tyle w innych stanach faktycznych możliwe jest odmienne rozłożenie odpowiedzialności.
Dla praktyki compliance oznacza to konieczność każdorazowego, rzetelnego ustalania ról podmiotów uczestniczących w łańcuchu przetwarzania danych oraz dokumentowania tych ustaleń. Wyroki NSA potwierdzają, że zarówno zaniechanie obowiązków notyfikacyjnych, jak i automatyczne przypisywanie odpowiedzialności bez analizy statusu administratora mogą prowadzić do wadliwych rozstrzygnięć regulacyjnych.
Wyrok NSA, III OSK 2416/22
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
