W jednym z najnowszych komunikatów, Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu kary pieniężnej w wysokości ponad 363 tysięcy złotych na Bank Millenium za niewłaściwe poinformowanie osoby, której danych naruszenie dotyczyło oraz za brak zgłoszenia naruszenia organowi nadzorczemu.

Bank nienależycie zawiadomił Skarżących o naruszeniu danych osobowych

Jak wynika ze stanu faktycznego sprawy, do Prezesa Urzędu Ochrony Danych Osobowych, wpłynęła skarga na nieprawidłowości w procesie przetwarzania danych osobowych przez Bank Millennium S.A, polegające na zagubieniu dokumentacji zawierającej dane osobowe Skarżących, przekazanej Bankowi w związku z procedurą założenia konta bankowego. Oddział Banku zagubił ich dane osobowe, przekazane w związku z procedurą założenia konta bankowego. Skarżący wskazali, iż zostali powiadomieni o zagubieniu dokumentacji zawierającej ich dane osobowe. W związku z otrzymanym powiadomieniem udali się do Banku w celu uzyskania dodatkowych informacji w tej sprawie, tj. jak mogą się ustrzec przed ewentualnymi negatywnymi konsekwencjami i co powinni zrobić w zaistniałej sytuacji. Skarżący takich informacji nie uzyskali, w związku z tym dokonali w placówce Banku zgłoszenia reklamacyjnego.

Zgodnie z art. 34 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d). Zgodnie z przytoczonymi regulacjami zawiadomienie musi:
-zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
-opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
-opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Brak powiadomienia organu nadzorczego

Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Banku o wyjaśnienie, czy w związku z zaistniałym zdarzeniem Bank zgłosił, w trybie art. 33 Rozporządzenia 2016/679, Prezesowi UODO naruszenie ochrony danych osobowych w powyższym zakresie, a jeśli tak, to kiedy i czy Bank dopełnił obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, w myśl art. 34 ust. 1 i 2. Bank wskazał, że zgodnie z metodyką opartą na europejskiej metodologii ENISA, ocenił to zdarzenie jako mogące powodować średnie ryzyko naruszenia praw i wolności Skarżących, dlatego Bank nie zgłosił ww. naruszenia do Prezesa Urzędu Ochrony Danych Osobowych.

Jak wskazał w uzasadnieniu decyzji Prezes Urzędu Ochrony Danych Osobowych:

„Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia. Podkreślić należy, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem.”.

Wysokie ryzyko naruszenia praw lub wolności osoby fizycznej

Jak wskazał PUODO, naruszenie poufności danych, jakie wystąpiło w związku z naruszeniem ochrony danych osobowych polegającym na zagubieniu dokumentacji zawierającej dane osobowe klientów Banku w zakresie m.in.: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny nadawany klientom Banku) Skarżącej oraz imię, nazwisko, nr PESEL Skarżącego, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Ponadto, nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, które z uwagi na zakres danych należy uznać jako wysokie.