Niezawiadomienie o naruszeniu ochrony danych podstawą kary nałożonej na Bank Millenium S.A.

Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Bank Millenium S.A. za niezawiadomienie o naruszeniu ochrony danych osobowych. Decyzja dotyczyła zgubienia dokumentacji zawierającej dane osobowe klientów oraz braku zawiadomienia osób dotkniętych incydentem. Bank nie spełnił obowiązków wynikających z RODO, co skutkowało nałożeniem kary pieniężnej w wysokości 363 832 złotych.

Tematyka: Prezes UODO, Bank Millenium, niezawiadomienie, naruszenie ochrony danych, RODO, administracyjna kara pieniężna

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Bank Millennium S.A. przepisów
z zakresu ochrony danych polegające na niezgłoszeniu naruszenia ochrony danych osobowych bez zbędnej
zwłoki oraz na niezawiadomieniu o naruszeniu ochrony danych osobowych osób, których dane dotyczą. Na
Bank Millennium S.A. została nałożona administracyjna kara pieniężna w wysokości 363 832 złotych.
Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO), wpłynęła skarga dwóch osób na
nieprawidłowości w procesie przetwarzania danych przez Bank Millennium S.A. (dalej: Bank). Nieprawidłowości miały
polegać na zagubieniu dokumentacji zawierającej dane osobowe klientów, a przekazanej Bankowi w związku
z procedurą założenia konta bankowego.
W treści skargi wskazano, że w maju 2019 r. Skarżący zostali powiadomieni o zagubieniu dokumentacji zawierającej
ich dane osobowe. Skarżący udali się do Banku w celu wyjaśnienia sprawy i uzyskania informacji o tym jak mogą się
ustrzec przed ewentualnymi negatywnymi konsekwencjami. Skarżący takich informacji nie uzyskali, w związku z tym
dokonali w placówce Banku zgłoszenia reklamacyjnego.
Prezes UODO, na podstawie art. 58 ust. 1 lit. a i e rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679
z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119 s. 1; dalej:
RODO) zwrócił się do Banku o wyjaśnienie, czy w związku z zaistniałym zdarzeniem Bank zgłosił, w trybie art. 33
RODO, Prezesowi UODO naruszenie ochrony danych osobowych w powyższym zakresie, a jeśli tak, to kiedy i czy
Bank dopełnił obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, zgodnie
z art. 34 ust. 1 i 2 RODO. Prezes UODO zwrócił się także o wskazanie, jakich kategorii danych dotyczyło naruszenie,
jakie są jego możliwe konsekwencje dla osób, których dane dotyczą oraz czy, a jeśli tak, to jakie Bank zastosował
środki zaradcze mające na celu zminimalizowanie ewentualnych negatywnych skutków zaistniałego naruszenia oraz
jakie Bank przedsięwziął środki mające na celu niedopuszczenie do zaistnienia w przyszłości naruszeń o podobnym
charakterze.
W odpowiedzi Bank przekazał informacje, że oddział Banku nadał do Centrali przesyłkę, w której znajdowały się
następujące dokumenty: pełnomocnictwo udzielone Skarżącemu przez Skarżącą, umowa konta oszczędnościowego
profit, umowa rachunków bankowych oraz karty debetowej, umowa ramowa o świadczenie usług finansowych,
umowa rachunku bankowego, potwierdzenie zmian do umowy rachunku bankowego, umowa karty, ankieta
inwestycyjna, wynik ankiety inwestycyjnej. Na wymienionych dokumentach znajdowały się w m.in. poniższe dane:
imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer CIF (numer identyfikacyjny
nadawany klientom Banku) Skarżącej oraz imię, nazwisko i PESEL. Z dodatkowych wyjaśnień wynika, że przesyłka
zawierająca wskazane dokumenty nie dotarła do Centrali Banku. Bank złożył oficjalną reklamację w związku
z brakiem doręczenia przesyłki.
Biorąc pod uwagę powyższe, w tym zakres danych, których dotyczył przedmiotowy incydent, Bank, zgodnie
z metodyką opartą na europejskiej metodologii ENISA, ocenił to zdarzenie jako mogące powodować średnie ryzyko
naruszenia praw i wolności Skarżących, dlatego też Bank nie zgłosił ww. naruszenia do Prezesa UODO oraz nie
zawiadomił osób o naruszeniu ochrony ich danych osobowych. Zdaniem Prezesa UODO Skarżącym wskazano
jedynie bardzo ogólne informacje dotyczące charakteru naruszenia (bez wskazania kategorii danych objętych
naruszeniem) oraz środki w celu zminimalizowania jego ewentualnych negatywnych skutków, w tym umożliwiając
skorzystanie Skarżącym z bezpłatnej usługi Alert. Informacja ta nie zawierała natomiast żadnych informacji
o konsekwencjach z jakimi wiązać się może przedmiotowe naruszenie ochrony danych osobowych oraz informacji,
na które wskazuje art. 33 ust. 3 lit. b RODO. W ocenie Prezesa UODO brak w niej również odniesienia się do
środków bezpieczeństwa zastosowanych przez Bank w celu zminimalizowania ryzyka wystąpienia naruszenia
ponownie.
Z uzasadnienia decyzji Prezesa UODO
Naruszenie poufności danych, jakie wystąpiło w omawianej sprawie, w związku z naruszeniem ochrony danych
osobowych polegającym na zagubieniu dokumentacji zawierającej dane osobowe klientów Banku powoduje,
zdaniem Prezesa UODO, wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Powyższe oznacza, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych naruszeniem. Bank,
w ocenie Prezesa UODO, nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu
zgodnie z obowiązkiem wskazanym w z art. 33 ust. 1 RODO oraz nie zawiadomił bez zbędnej zwłoki osób, których
dane dotyczą, o naruszeniu ochrony ich danych, w myśl art. 34 ust. 1 RODO, co oznacza naruszenie przez Bank
tych przepisów.
Decydując o nałożeniu na Bank administracyjnej kary pieniężnej Prezes UODO, stosownie do art. 83 ust. 2 lit.
a RODO – art. 83 ust. 2 lit. k RODO, wziął m.in. pod uwagę następujące okoliczności sprawy.
Po pierwsze, stwierdzone w omawianej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ może
doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone,
a prawdopodobieństwo ich wystąpienia jest wysokie.
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Bank informacji
o naruszeniu ochrony danych osobowych do dnia wydania decyzji upłynęły ponad 2 lata, w trakcie których ryzyko
naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły
przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku zgłoszenia naruszenia ochrony danych
osobowych Prezesowi UODO oraz z obowiązku powiadomienia osób, których dane dotyczą, w sposób prawidłowy
o naruszeniu. Warto wskazać, że Bank podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO,
jak i osób, których dane dotyczą (ocena zdarzenia w oparciu o metodologię ENISA).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Banku. Ocena ta dotyczy
reakcji Banku na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku
z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie
obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osób, których dane
dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie
o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO
postępowania administracyjnego w sprawie.
O naruszeniu ochrony danych osobowych stanowiących przedmiot sprawy (o zagubieniu przez firmę kurierską
dokumentacji, zawierającej dane osobowe przetwarzane przez Bank działający jako administrator tychże danych)
Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą (zgodnie z art.
33 i art. 34 RODO). Okoliczność braku informacji o naruszeniu ochrony danych pochodzących od administratora
zobowiązanego do przekazania takiej informacji Prezesowi UODO zostało uznane za obciążającą dla tego
administratora.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące,
mające wpływ na ostateczny wymiar kary.
Za taką okoliczność uznano następujące zdarzenie polegające na tym, że Bank przekazał osobom, których dane
dotyczą, pewne informacje dotyczące naruszenia, w tym jego charakter i wskazał środki w celu zminimalizowania
jego ewentualnych negatywnych skutków. Takie działanie Banku było jednak niewystarczające.
Represyjny i prewencyjny charakter kary
Po raz kolejny Prezes UODO podkreślił, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank,
który przetwarza dane osobowe w sposób profesjonalny i na masową skalę, w przyszłości będzie wywiązywał się ze
swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia
ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób,
których dotyczyło naruszenie.
Administracyjna kara pieniężna ma, zdaniem Prezesa UODO, pełnić funkcję represyjną, jako że stanowić będzie
odpowiedź na naruszenie przez Bank przepisów RODO. Będzie również spełniać funkcję prewencyjną, ponieważ
zarówno Bankowi, jak i innym administratorom danych, ma zwrócić uwagę na naganność lekceważenia obowiązków
administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu
zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie
tych skutków lub przynajmniej ich ograniczenie.

Komentarz
Prezes UODO w omawianej decyzji wyraźnie wskazał, że nie jest istotne to, czy nieuprawniony odbiorca faktycznie
wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło ryzyko zaistnienia takiej
sytuacji, co potencjalnie oznacza wystąpienie ryzyka naruszenia praw lub wolności osób, których dane dotyczą.
W ramach takiej analizy, należy również wziąć pod uwagę kontekst i zakres danych osobowych.
W decyzji zostało także wyraźnie podkreślone, że numer PESEL podlega wyjątkowej ochronie na gruncie RODO
i jest daną o szczególnym charakterze. Jest on ściśle połączony ze sferą prywatną osoby fizycznej i podlega on
ochronie m.in. na gruncie art. 87 RODO. Ochrony informacji tego typu wymaga się od podmiotów zaliczanych do

kategorii instytucji zaufania publicznego. Bank zakwalifikowano do takiej właśnie kategorii.
Bankowi ponadto nakazano ( w terminie 3 dni od dnia doręczenia decyzji) zawiadomienie osób, których dotyczy
omawiana sprawa, o naruszeniu ochrony ich danych osobowych w celu przekazania informacji wymaganych na
gruncie art. 34 ust. 2 RODO.

Decyzja Prezesa UODO z 14.10.2021 r., DKN.5131.16.2021,

Prezes UODO uznał brak zgłoszenia naruszenia ochrony danych oraz zawiadomienia osób dotkniętych incydentem za naruszenie przepisów RODO. Decyzja ma charakter represyjny i prewencyjny, mając na celu skłonienie Banku do przestrzegania obowiązków związanych z ochroną danych osobowych. Bank został również zobowiązany do zawiadomienia osób dotkniętych naruszeniem.