Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku Millennium, utrzymując w mocy karę nałożoną przez Urząd Ochrony Danych Osobowych. Chodzi o naruszenie przepisów dotyczących ochrony danych osobowych oraz brak wymaganego zgłoszenia tego naruszenia do organu nadzorczego.
Kara dla banku
UODO przypomniał w komunikacie, że bank został ukarany kwotą 350 tys. zł. Kara dotyczy sytuacji, w której doszło do zgubienia przez firmę kurierską korespondencji nadanej przez bank. W przesyłce znajdowały się dane osobowe klientów Banku Millennium. O zdarzeniu Urząd dowiedział się nie od banku, lecz ze skargi złożonej na tę instytucję.
Jak wynika z informacji przekazanych przez UODO, bank uznał, że ryzyko negatywnych konsekwencji dla osób, których dane znalazły się w zgubionej przesyłce, jest jedynie średnie. Na tej podstawie nie zgłosił naruszenia organowi nadzorczemu i nie poinformował klientów w sposób wymagany przez RODO. Urząd uznał takie działanie za naruszenie obowiązków administratora danych osobowych.
Sprawa trafiła najpierw do Wojewódzkiego Sądu Administracyjnego w Warszawie. WSA potwierdził decyzję Prezesa UODO. Zwrócono uwagę, że bank nie miał żadnej informacji, co stało się z zagubioną przesyłką. Zdaniem sądu taki stan rzeczy tym bardziej potwierdzał, że doszło do naruszenia przepisów o ochronie danych osobowych. WSA przyznał organowi nadzorczemu rację także w zakresie ustalenia, kto był administratorem danych. Sąd podkreślił, że to bank, a nie operator pocztowy, określał cele i sposoby przetwarzania danych, a zatem to na nim spoczywały obowiązki wynikające z RODO.
Skarga kasacyjna
Po niekorzystnym wyroku WSA Bank Millennium złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, domagając się uchylenia orzeczenia w całości. W skardze bank zarzucił sądowi pierwszej instancji błędną wykładnię prawa i argumentował, że w momencie zagubienia przesyłki faktyczne władztwo nad nią sprawowała firma kurierska. W ocenie banku to właśnie ten podmiot miał być administratorem danych osobowych, a nie Bank Millennium. Instytucja nie zgadzała się również z nałożoną na nią sankcją finansową.
Naczelny Sąd Administracyjny nie podzielił jednak argumentów banku i oddalił skargę kasacyjną, utrzymując karę nałożoną przez UODO.
Czytaj też:
Masz Androida? Sprawdź, czy Play Protect jest włączony. Bank ostrzega klientówCzytaj też:
Zamach stanu w NBP? Członek zarządu reaguje