21 lipca 2022 roku Prezes Urzędu Ochrony Danych Osobowych zamieścił na swojej stronie komunikat, w którym poinformował, że Wojewódzki Sąd Administracyjny w Warszawie, wyrokiem z dnia 1 lipca 2022 r. oddalił skargę Banku Millenium S.A. na decyzję UODO nakładającą administracyjną karę pieniężną w wysokości ponad 363 tys. zł. Naruszenie polegało na tym, że firma kurierska zagubiła korespondencję zawierającą dane takie jak: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. O zaistniałym zdarzeniu UODO dowiedział się ze skargi, jaka wpłynęła na bank. Administrator uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą. Więcej o tym naruszeniu pisaliśmy na naszej stronie.
Jednak dzisiaj chciałabym skupić się na trochę innej kwestii, która nasunęła mi się po przeczytaniu komunikatu UODO.
Przyznacie, że w swojej pracy wysyłamy mnóstwo korespondencji. Niestety czasami, z różnych powodów, nie dociera ona do adresata. Chciałoby się powiedzieć: „no cóż… trudno… wyślę raz jeszcze.” Nic bardziej mylnego. Zagubienie korespondencji przez operatora pocztowego lub firmę kurierską ma wpływ na nasze obowiązki jako nadawcy przesyłki. I właśnie jedną z kwestii, którą rozpatrywał WSA w Warszawie było też ustalenie, kto jest administratorem danych zawartych w zagubionej korespondencji.
Sąd jednoznacznie stwierdził, że administratorem danych jest bank, a nie operator pocztowy (czy firma kurierska), gdyż to on określił cele i sposoby przetwarzania danych. To bank „spakował dokumenty do koperty”, nadał tę przesyłkę, więc tylko bank posiadał wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada.
Ciekawe rozwiązanie stosuje operator wyznaczony w Polsce do świadczenia powszechnych usług pocztowych. W swoich pismach kierowanych do klientów w przypadku, gdy przesyłka pocztowa zostanie uznana za zaginioną, wprost wskazuje, że nadawca przesyłki (np. bank, sąd, urząd) jako administrator danych osobowych jest zobowiązany do dokonania oceny prawdopodobieństwa naruszenia praw i wolności osób fizycznych, których dane osobowe mogły stanowić zawartość przesyłki, oraz powinien rozważyć podjęcie działań wskazanych w art. 33 i 34 RODO z zachowaniem terminowości ich wykonania tj.:
- ewentualne zgłoszenie naruszenia ochrony danych organowi nadzorczemu nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (art. 33),
- zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych bez zbędnej zwłoki (art. 34).
Przy pierwszym takim piśmie otrzymanym przez jednego z klientów zastanawiałam się po co ten zapis. Na logikę było wiadomo, że operator nie ma wiedzy co zawiera przesyłka, więc to nadawca przesyłki musi wykonać wszystkie obowiązki związane z jej zaginięciem. Ponadto, już w sprawozdaniu z działalności Prezesa UODO za 2019 rok wskazano, że w przypadku zagubienia przesyłki pocztowej obowiązki określone w art. 33 i 34 RODO spoczywają na nadawcy przesyłki, ponieważ to on „posiada wiedzę o tym, jakie dane przekazywane są w przesyłce, a tym samym może ocenić, jakim ryzykiem dla praw i wolności osoby fizycznej skutkuje utrata przesyłki”. Jednak jak pokazuje sprawa dot. Banku Millenium S.A. nadal są wątpliwości w tym zakresie. Dlatego uważam, że rozwiązanie stosowane przez Pocztę Polską jest świetną „przypominajką” dla administratorów danych, którzy w natłoku codziennych obowiązków mogą stwierdzić: „aha… trzeba wysłać list raz jeszcze” i mogą nie pamiętać o RODO. Teraz ww. jest dodatkowo potwierdzone wyrokiem sądu.
Należy zauważyć, że sąd wskazał również, że firma świadcząca usługi kurierskie była administratorem jedynie w zakresie danych, które widniały na kopercie, a które są niezbędne do prawidłowego dostarczenia przesyłki. Takie stanowisko prezentował już wcześniej organ nadzorczy.
W tym miejscu warto przypomnieć, że Prezes UODO wypowiedział się także w kwestii postępowania, gdy dojdzie do zagubienia zwrotnego potwierdzenia odbioru. Organ nadzorczy wskazał, że w takim przypadku „podmiotem zobowiązanym do dokonania oceny w zakresie konsekwencji takiego zdarzenia jest operator pocztowy. Zwrotne potwierdzenie odbioru jest elementem dodatkowej usługi (przesyłki za zwrotnym potwierdzeniem odbioru) oraz zawiera takie dane, jak imię i nazwisko, adres adresata i nadawcy przesyłki, a także datę, imię i nazwisko odbiorcy.” Więcej na stronie UODO.
Wnioski dla nas?
- Nie lekceważmy zagubienia przesyłki przez operatora pocztowego lub firmę kurierską.
- Uważnie czytajmy pisma w sprawie składanych przez nas reklamacji na poczcie czy w firmie kurierskiej – mogą zawierać „przypominajki” o naszych RODO obowiązkach, które w natłoku wielu innych spraw mogą nam umknąć.
- Rzetelnie oceńmy ryzyko naruszenia praw i wolności osób fizycznych, których dane znajdowały się w zagubionej korespondencji i działajmy zgodnie z otrzymaną oceną ryzyka. Pamiętajmy, że przy średnim poziomie ryzyka należy dokonać zgłoszenia naruszenia do Prezesa UODO, a jeżeli poziom ryzyka jest na poziomie wysokim to należy również zawiadomić osoby, których poufność danych została naruszona.
- Absolutnie nie zamiatajmy sprawy pod dywan – zaniechanie zawiadomienia o naruszeniu organu nadzorczego oraz zawiadomienia osoby, której dane dotyczą, może być przyczyną nałożenia administracyjnej kary pieniężnej na administratora.
Autor: Monika Kowalik, Specjalista ds. ochrony danych osobowych oraz ochrony informacji w CompNet Sp. z o.o.