Bankowość

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2023 r. poz. 775, ze zm.), art. 7 ust. 1 i 2 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1, 2 i 3, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej „rozporządzeniem 2016/679”, po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Santander Bank Polska S.A. z siedzibą w Warszawie (Al. Jana Pawła II 17, 00-854 Warszawa) Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdzając naruszenie przez Santander Bank Polska S.A. z siedzibą w Warszawie (Al. Jana Pawła II 17, 00-854 Warszawa) przepisów:
a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,
b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,

nakłada na Santander Bank Polska S.A. z siedzibą w Warszawie (Al. Jana Pawła II 17, 00-854 Warszawa) administracyjną karę pieniężną w wysokości 1 440 549,- PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych),
2) nakazuje Santander Bank Polska S.A. z siedzibą w Warszawie (Al. Jana Pawła II 17, 00-854 Warszawa) zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osób, których ochrona danych została naruszona na skutek zdarzenia wpisanego do Rejestru Naruszeń Danych Osobowych Santander Bank Polska S.A. pod numerem (…), o naruszeniu ochrony ich danych osobowych w celu przekazania tym osobom informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Uzasadnienie

W dniu 23 sierpnia 2022 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również „Prezesem UODO” lub „organem nadzorczym”, z artykułu zamieszczonego w serwisie (…) pod adresem (…), powziął informację o naruszeniu ochrony danych osobowych klientów Santander Bank Polska S.A. z siedzibą w Warszawie, zwaną dalej: „Bankiem” lub „Administratorem”, polegające na upublicznieniu dokumentów bankowych znajdujących się w porzuconej na osiedlu w K. przesyłce, po tym jak została ona uprzednio skradziona w czasie transportu w firmie kurierskiej. Sam artykuł opublikowany został w dniu (...) listopada 2018 r., natomiast incydent miał miejsce (...) listopada 2018 r. Z zamieszczonego wpisu wynika, że „(…)”. O zdarzeniu dwa dni wcześniej informował również serwis (…).

W związku z powyższym, pismem z dnia 25 sierpnia 2022 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Banku o wyjaśnienie, czy w związku z zaistniałym zdarzeniem Bank zgłosił, w trybie art. 33 rozporządzenia 2016/679, Prezesowi UODO naruszenie ochrony danych osobowych w powyższym zakresie, a jeśli tak, to kiedy i w jaki sposób tego dokonał i czy Bank dopełnił obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, w myśl art. 34 ust. 1 i 2 rozporządzenia 2016/679. Prezes UODO zwrócił się również o wskazanie: kiedy i w jaki sposób Bank ustalił, że doszło do upublicznienia wskazanych w piśmie dokumentów, liczby osób, których dotyczy przedmiotowe naruszenie ochrony danych osobowych, okresu z jakiego pochodzą upublicznione dokumenty oraz wyjaśnienie, jakie działania podjęto w celu zminimalizowania ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości.

Pismem z dnia 5 września 2022 r. Bank zwrócił się do Prezesa UODO o przedłużenie terminu na udzielenie odpowiedzi do dnia 16 września 2022 r., argumentując to koniecznością „rzetelnego ustalenia (z wieloma osobami, reprezentującymi różne jednostki w banku), a mianowicie: zbadania przez Bank okoliczności zdarzenia, po jego ujawnieniu; przesłanek dokonanej, przez bank, oceny zdarzenia; wniosków i działań, które bank podjął w związku z zaistnieniem tego zdarzenia, by w sposób wyczerpujący odpowiedzieć na pytania Prezesa Urzędu Ochrony Danych Osobowych”.

Z odpowiedzi, której Bank udzielił pismem z dnia 16 września 2022 r., wynika, że Bank ustalił, że do znalezienia wskazanych w piśmie organu nadzorczego dokumentów w bloku w K. doszło w dniu (...) listopada 2018 r. Dokonała tego jednostka (…), przeprowadzając monitoring wiadomości pojawiających się w Internecie. Na portalu (…) znalazła ona wpis dotyczący znalezienia dokumentów Banku w bloku w K. Dwa dni później o zdarzeniu poinformował także portal (…). Przedmiotowe naruszenie ochrony danych osobowych objęło maksymalnie 158 osób (liczba ta została ustalona na podstawie danych zawartych w zastawieniu wysłanej dokumentacji, ze wskazaniem numerów identyfikacyjnych klientów, których dokumenty odnaleziono). Upublicznione dokumenty pochodziły z okresu od (...) listopada 2018 r. do (...) listopada 2018 r. (data nadania przesyłki w (…) Oddziale Banku w K.). Naruszenie ochrony danych osobowych nie zostało zgłoszone Prezesowi UODO. Na taką decyzje wpłynęły następujące okoliczności:

przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera;
zweryfikowano, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji;
osoba ta przyznała, że nie kopiowała dokumentów.

W związku z powyższym również osoby, których dane dotyczą, nie zostały poinformowane o naruszeniu ochrony danych osobowych.

Bank opisał także, jakie działania podjęto w celu zminimalizowania ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości, w związku z czym powołano grupę roboczą, której zadaniem była analiza zdarzenia oraz opracowanie mechanizmów pozwalających na zapobiegnięcie powstania podobnych sytuacji w przyszłości.
„(…) W wyniku prac tej grupy:
1) opracowano „Standard" dla procesu wysyłki dokumentacji papierowej, obejmujący:
a. przygotowanie przesyłki / sposobu zapakowania — wykorzystanie (…). Etykieta (…) ma następującą treść „(…)"
b. kontrolę „Standardu" na trzech poziomach:
i) kontrola po stronie kuriera — (…),
ii) Kontrola realizowana przez (…),
iii) kontrola po stronie G. - (…),
c. reakcję na zdarzenia (wykryte nieprawidłowości).
2) przeprowadzono kontrolę alertową poprawności nadania przesyłek z dokumentacją G.. W wyniku tej kontroli, ustalono następujące działania pokontrolne:
- przygotowano Instrukcję nadawania przesyłek dla Oddziałów Banku,
- wysłano maile do każdego oddziału, który błędnie nadał przesyłkę z informacją jak poprawnie nadać paczkę z dokumentacją do G.,
- zaangażowanie pracowników kontroli bezpośredniej — podczas wizyt w oddziałach instruują pracowników oddziałów jak poprawnie nadawać przesyłki z dokumentacją,
3) podjęto rozmowy z kurierem, w zakresie procesu komunikacji, obejmującej w szczególności:
i) wymagane czasy i sposoby reakcji na zgłaszane nieprawidłowości / zidentyfikowane zdarzenia,
ii) narzędzia komunikacji,
iii) dokumentowanie wyjaśnień / oświadczenia”.

W związku z dotychczas udzielonymi wyjaśnieniami w sprawie, pismem z dnia 6 października 2022 r. Prezes UODO zwrócił się do Administratora dodatkowo o:
1) wskazanie dokładnego zakresu danych osobowych, znajdujących się w dokumentacji bankowej, objętej przedmiotowym naruszeniem ochrony danych osobowych;
2) wyjaśnienie, czy w odniesieniu do ujawnionych danych osobowych klientów Santander Bank Polska S.A. jest jedynym administratorem danych osobowych; ewentualnie czy jeżeli ujawnieniu uległy dane osobowe, których administratorami są również inne podmioty, Bank powiadomił je o niniejszym naruszeniu ochrony danych osobowych.

Pismem z dnia 20 października 2022 r. Bank zawnioskował o przedłużenie terminu na udzielenie odpowiedzi na powyższe pismo do dnia 27 października 2022 r.
W odpowiedzi z dnia 27 października 2022 r., Administrator wskazał, że w dokumentacji objętej przedmiotowym naruszeniem, znalazły się następujące kategorie danych osobowych: nazwiska i imiona, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery ewidencyjne PESEL, adresy e-mail, nazwy użytkowników i/lub hasła, dane dotyczące zarobków i/lub posiadanego majątku, serie i numery dowodów osobistych, numery telefonów, informacje o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacje o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia. Jednocześnie, Bank wskazał, że w dokumentacji bankowej objętej przedmiotowym naruszeniem ochrony danych osobowych nie było danych, o których mowa w art. 9 lub art. 10 rozporządzenia 2016/679. Ponadto, w dokumentacji bankowej objętej przedmiotowym naruszeniem ochrony danych osobowych, znajdowały się dwie polisy ubezpieczenia, wystawione do umów ubezpieczenia mienia klientów banku. W zakresie tych umów ubezpieczenia administratorem danych są towarzystwa ubezpieczeniowe, których Bank nie powiadomił o naruszeniu ochrony danych osobowych.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu 8 grudnia 2022 r. Prezes UODO wszczął z urzędu wobec Banku postępowanie administracyjne w zakresie możliwości naruszenia przez Bank art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia 2016/679.

Wszczynając postępowanie administracyjne Prezes UODO wezwał Bank do wskazania m.in. na jakiej podstawie administrator uznał, że zaistniałe naruszenie ochrony danych osobowych klientów Santander Bank Polska S.A. nie wymaga zgłoszenia do organu nadzorczego oraz skutkuje brakiem konieczności zawiadomienia osób, których dotyczy naruszenie. Jednocześnie, Prezes UODO zawnioskował o przedłożenie przeprowadzonej analizy ryzyka dla tego naruszenia.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, pismem z dnia 19 grudnia 2022 r. Bank przesłał dodatkowe wyjaśnienia, w których wskazał, że naruszenie ochrony danych osobowych klientów Banku, zaistniałe w wyniku kradzieży przesyłki zawierającej dokumentację Banku w czasie jej transportu w firmie kurierskiej, a następnie porzuceniu otwartej przesyłki na zamkniętym osiedlu w K., zostało wpisane do Rejestru Naruszeń Danych Osobowych Santander Bank Polska S.A., pod numerem (…). Ocena ryzyka naruszenia praw i wolności podmiotu danych została ustalona na poziomie niskim, a na taką ocenę wpłynęły następujące okoliczności: przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera; Bank zweryfikował, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji; osoba ta przyznała, że nie kopiowała dokumentów.

W efekcie tej oceny incydent ten nie został zgłoszony Prezesowi Urzędu Ochrony Danych Osobowych. Jednocześnie Bank nie zdecydował się również na zawiadomienie osób, których dotyczy to naruszenie.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:

Zgodnie z definicją zawartą w art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” jest naruszeniem bezpieczeństwa prowadzącym do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie zart. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei na podstawie art. 34 ust. 1 rozporządzenia 2016/679, w sytuacji gdy istnieje możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić o naruszeniu osobę, której dane dotyczą. Art. 34 ust. 2 rozporządzenia 2016/679 stanowi, że prawidłowe zawiadomienie powinno:
1) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z analizy ww. przepisów wynika zatem, że w zależności od tego, z jakim poziomem ryzyka naruszenia praw lub wolności osób fizycznych administrator ma do czynienia, inaczej kształtują się jego obowiązki w stosunku do organu nadzorczego, a także osób, których dane dotyczą. Jeżeli w wyniku analizy administrator stwierdził, że prawdopodobieństwo zaistnienia ryzyka naruszenia praw lub wolności osób fizycznych jest małe, nie jest on zobligowany do zgłoszenia naruszenia Prezesowi Urzędu Ochrony Danych Osobowych. Wskazane naruszenie musi jedynie wpisać do wewnętrznej ewidencji naruszeń. W przypadku stwierdzenia ryzyka naruszenia praw lub wolności osób fizycznych, obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych Prezesowi UODO, jak również umieszczenie wpisu w wewnętrznej ewidencji naruszeń. Wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, oprócz wpisu w ewidencji naruszeń, wymaga od administratora podjęcia odpowiednich działań, zarówno wobec organu nadzorczego (zgłoszenie naruszenia ochrony danych), ale także również wobec osób, których dane dotyczą. W przypadku naruszeń ochrony danych osobowych, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, rozporządzenie 2016/679 wprowadza bowiem dodatkowy obowiązek niezwłocznego zawiadomienia podmiotu danych przez administratora, chyba że ten podjął działania prewencyjne przed zaistnieniem naruszenia albo działania zaradcze po wystąpieniu naruszenia (art. 34 ust. 3 rozporządzenia 2016/679).

Jak wynika z powyższego, w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych, w pierwszej kolejności konieczne jest dokonanie analizy pod kątem wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu, jeśli przeprowadzone badanie wykaże, że istnieje co najwyżej małe prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych. Należy jednak mieć na względzie fakt, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym wnioski z przeprowadzonej analizy należy odnotować w wewnętrznej ewidencji naruszeń. Warto przy tym przypomnieć, że w Wytycznych Europejskiej Rady Ochrony Danych (EROD) nr 9/2022[1], przyjętych w dniu 28 marca 2023 r., znajdują się rekomendacje dotyczące zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu.

Należy podkreślić, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Jest to szczególnie ważne, ponieważ w oparciu o zawiadomienie o naruszeniu ochrony danych osobowych osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu ochrony danych osobowych administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. Brak zawiadomienia o naruszeniu ochrony danych osobowych osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować dla niej poważne konsekwencje. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, która polega nie tylko na ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi zatem skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz – jeśli takie ryzyko wystąpiło – to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może – jeżeli administrator nie zawiadomił osób, których dane dotyczą – zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia ochrony danych osobowych (umożliwia to osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych).

Santander Bank Polska S.A. z uwagi na skalę i przedmiot swojej działalności, tj. świadczenie różnego rodzaju usług finansowych, przetwarza dane osobowe bardzo dużej liczby klientów, z którymi zawiera umowy o świadczenie usług bankowych. W rozpatrywanym przypadku z danymi osobowymi Klientów Banku zawartymi w dokumentacji bankowej w zakresie: imienia i nazwiska, daty urodzenia, numeru rachunku bankowego, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL, adresu e-mail, nazwy użytkownika i/lub hasła, danych dotyczących zarobków i/lub posiadanego majątku, serii i numeru dowodu osobistego, numeru telefonu, informacji o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegółów tych produktów, a ponadto informacji o polisach ubezpieczenia mienia, tj. m.in. numerów polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacji dotyczących ubezpieczonego mienia, zapoznała się osoba nieuprawniona. Ponadto, ujawnione zostały dane związane z faktem zawarcia umów i ich treścią. Brak także pewności, czy przed osobą, która dostarczyła przedmiotowe dokumenty na posterunek policji, z dokumentami tymi nie zapoznały się z inne osoby, jako że znajdowały się one w miejscu ogólnodostępnym. Nie ulega więc wątpliwości, że w oparciu o ujawnione dane można łatwo zidentyfikować podmioty danych.

W konsekwencji, sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do stwierdzenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być, jak należy raz jeszcze podkreślić, dokonana przez pryzmat osoby dotkniętej naruszeniem. Przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Jednocześnie Administrator nie wykazał, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że osoba, która odnalazła przesyłkę, może zostać uznana za tzw. zaufanego odbiorcę. Z wyjaśnień, których Bank udzielił pismem z dnia 16 września 2022 r. wynika, że odstąpił on od zgłoszenia przedmiotowego naruszenia do organu nadzorczego, ponieważ „przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera”. Dokonaną ocenę ryzyka oparto na przekonaniu, że osoba, która weszła w posiadanie przesyłki z dokumentami Banku jest tzw. „uczciwym znalazcą”, gdyż „zweryfikowano, że nie brakuje żadnych dokumentów”, „osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji” oraz „osoba ta przyznała, że nie kopiowała dokumentów”. Biorąc powyższe pod uwagę, zdaniem Administratora „ocena ryzyka naruszenia praw i wolności podmiotu danych została ustalona na poziomie niskim”.

Dla lepszego zobrazowania przypadków naruszeń ochrony danych osobowych, w wyniku których doszło do przypadkowego ujawnienia danych osobie nieuprawnionej, należy odnieść się do Wytycznych 9/2022, gdzie wskazano przypadek naruszenia dotyczącego poufności danych polegający na omyłkowym ujawnieniu danych osobowych stronie trzeciej lub innemu odbiorcy w sytuacji, gdy dane te zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług administrator korzysta. Administrator ma podstawy, aby wówczas uznać nieuprawnionego odbiorcę za zaufanego, ponieważ pozostaje z takim podmiotem w stałych stosunkach, zna stosowane u niego procedury i może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że odbiorca nie odczyta omyłkowo wysłanych danych lub nie uzyska wglądu do nich, jak również wypełni polecenie ich odesłania. Nawet w sytuacji, gdy do danych uzyskany został wgląd, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych nieodpowiednich działań i zwróci dane niezwłocznie do administratora. Jak wskazuje dalej EROD, w opisanym wyżej przypadku administrator w ocenie ryzyka przeprowadzonej w następstwie naruszenia może uwzględnić fakt, że odbiorca jest osobą zaufaną. Taka sytuacja z całą pewnością nie zachodzi jednak w omawianym przypadku. Osoba trzecia, która zupełnie przypadkowo odnalazła przesyłkę z dokumentacją bankową, zawierającą bardzo szczegółowe dane osobowe Klientów Banku, nie pozostaje z Bankiem w żadnych w relacjach pozwalających na przyjęcie, że jest ona zaufanym odbiorcą, stosownie do powyższego stanowiska EROD.

Odnosząc się do powyższego wskazać należy, że bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie, istotny jest raczej fakt, że przesyłka została odnaleziona przez jedną zidentyfikowaną osobę. Jak już zostało wcześniej wspomniane, Bank nie ma pewności, ile osób mogło mieć dostęp do porzuconej przesyłki, bo jak sam podnosi, została ona skradziona w czasie transportu w firmie kurierskiej, co w wystarczający sposób powinno wpłynąć na właściwą i adekwatną do okoliczności ocenę przedmiotowego incydentu bezpieczeństwa, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Nawet jeśli niewłaściwym odbiorcą jest osoba znana Administratorowi (np. jego klient, który informuje o pomyłce), brak jest gwarancji, że intencje tej osoby nie ulegną zmianie. Na powyższą ocenę nie ma także wpływu fakt uzyskania oświadczenia niewłaściwego odbiorcy o zachowaniu w poufności danych Klientów Banku, czy jak miało to miejsce w niniejszej sprawie – przyznania, że osoba nie kopiowała dokumentów. Nie ma bowiem pewności, czy przed złożeniem oświadczenia osoba ta nie wykonała kopii lub też nie utrwaliła zawartych w treści dokumentacji danych osobowych w inny sposób, np. poprzez ich spisanie. Również Bank nie ma możliwości faktycznej weryfikacji zapewnienia, że nieuprawniony odbiorca nie przekazał danych Klientów Banku osobom trzecim ani nie posiada kopii tych danych. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 21 stycznia 2022 r., sygn. akt II SA/Wa 1353/21, wskazał, że „(…) nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła danych osobowych zawartych w treści dokumentu w inny sposób, np. poprzez ich spisanie. Samo dokonanie czynności wskazanych w oświadczeniach złożonych przez Osobę trzecią - nieuprawnionego odbiorcę - nie daje gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem”. Należy jeszcze raz podkreślić, że oświadczenie złożone przez nieuprawnioną osobę nie przesądza o tym, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Jak wskazują Wytyczne 9/2022, naruszenie ochrony danych osobowych może potencjalnie wywołać szereg negatywnych skutków dla osób fizycznych, których dane są przedmiotem naruszenia. Wśród możliwych skutków naruszenia EROD wymienia: uszczerbek fizyczny, szkody materialne lub niemajątkowe. Jako przykłady takich szkód wymienione są m.in.: dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, straty finansowe, naruszenie dobrego imienia, naruszenie poufności danych osobowych oraz znaczna szkoda gospodarcza lub społeczna. W niniejszej sprawie nie ulega wątpliwości, że z uwagi na zakres danych objęty przedmiotowym naruszeniem ochrony danych osobowych, w tym numery ewidencyjne PESEL wraz z imionami i nazwiskami, istnieje wysokie prawdopodobieństwo wystąpienia wymienionych powyżej szkód.

Przede wszystkim należy podkreślić, że zaistniałe naruszenie ochrony danych osobowych dotyczyło numeru ewidencyjnego PESEL, czyli jedenastocyfrowego symbolu numerycznego, który jednoznacznie identyfikuje osobę fizyczną, zawierającego m.in.: datę urodzenia oraz oznaczenie płci, a więc ściśle powiązanego ze sferą prywatną osoby fizycznej oraz podlegającego również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679 – będącego daną o szczególnym charakterze i takiej szczególnej ochrony wymagającego. Nr PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Nr PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie. Ponadto należy wziąć pod uwagę, że w wyniku przedmiotowego naruszenia ochrony danych osobowych doszło do udostępnienia, co najmniej jednej osobie nieuprawnionej, tych numerów ewidencyjnych wraz z imieniem i nazwiskiem klientów Banku, które to zestawienie danych bywa wystarczające do „podszycia się” pod podmiot tych danych i zaciągnięcia w imieniu i na szkodę takiego podmiotu np. zobowiązań pieniężnych (vide: https://www.bik.pl/poradnik-bik/wyludzenie-kredytu-tak-dzialaja-oszusci – gdzie opisano przypadek, w którym: „Tylko imię, nazwisko i numer PESEL wystarczyły oszustom, by wyłudzić kilkanaście kredytów w sumie na dziesiątki tysięcy złotych. Nic więcej się nie zgadzało: ani numer dowodu osobistego, ani adres zamieszkania”).Nie sposób również pominąć, że analizowane naruszenie ochrony danych osobowych – co należy podkreślić – 158 osób dotyczyło także ogromnego zakresu innych danych identyfikujących te osoby, jak danych teleadresowych (które jak powszechnie się przyjmuje obejmują adres zamieszkania lub pobytu, numer telefonu oraz adres e-mail), daty urodzenia, numerów rachunków bakowych, serii i numerów dowodów osobistych, nazwy użytkowników i/lub hasła, danych dotyczących zarobków i/lub posiadanego majątku, czy treści samych umów dotyczących produktów bankowych (nazwy umów, daty ich zawarcia, szczegóły tych produktów) i szeregu informacji związanych z polisami ubezpieczenia mienia (m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia). W ocenie ryzyka kluczowym czynnikiem jest rodzaj i wrażliwość danych osobowych ujawnionych w wyniku naruszenia. W Wytycznych 9/2022 podkreślono, że zbiór różnych danych osobowych ma zazwyczaj bardziej wrażliwy charakter niż pojedyncze dane.

Warto w tym miejscu przytoczyć jeden z przykładów znajdujących się w Wytycznych Europejskiej Rady Ochrony Danych 01/2021[2] (przypadek nr 14, s. 31), odnoszący się do sytuacji „wysłania pocztą przez pomyłkę wysoce poufnych danych osobowych”. W opisanym w ww. wytycznych przypadku doszło do ujawnienia numeru ubezpieczenia społecznego, będącego odpowiednikiem stosowanego w Polsce numeru PESEL. W przypadku tym EROD nie miała wątpliwości, że ujawnione dane w zakresie: imię i nazwisko, adres e-mail, adres pocztowy, numer ubezpieczenia społecznego, wskazują na wysokie ryzyko naruszenia praw lub wolności osób fizycznych („zaangażowanie ich [osób poszkodowanych] numeru ubezpieczenia społecznego, a także innych, bardziej podstawowych danych osobowych, dodatkowo zwiększa ryzyko, które można określić jako wysokie”). EROD dostrzega wagę krajowych numerów identyfikacyjnych (w tym przypadku numeru PESEL), podkreślając jednocześnie, że tego typu naruszenie ochrony danych osobowych, a więc obejmujące swym zakresem dane w postaci: imienia i nazwiska, adresu e-mail, adresu korespondencyjnego oraz numeru ubezpieczenia społecznego, wymaga realizacji działań, tj.: powiadomienia organu nadzorczego oraz zawiadomienia o naruszeniu osób, których dane dotyczą.

Europejska Rada Ochrony Danych nie ma najmniejszych wątpliwości, że indywidualnie nadany numer jednoznacznie identyfikujący osobę fizyczną powinien podlegać szczególnej ochronie, a jego ujawnienie nieuprawnionym podmiotom może wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Na fakt, że dane jednoznacznie identyfikujące osobę fizyczną mogą powodować wysokie ryzyko naruszenia praw lub wolności EROD wskazuje również w innych przykładach podanych w Wytycznych 01/2021. W pkt 65 i 66 Wytycznych 01/2021 wskazano: „(…) Naruszone dane pozwalają na jednoznaczną identyfikację osób, których dane dotyczą, i zawierają inne informacje na ich temat (w tym płeć, datę i miejsce urodzenia), ponadto mogą być wykorzystywane przez atakującego do odgadnięcia haseł klientów lub do przeprowadzenia kampanii spear phishingowej skierowanej do klientów banku. Z tych powodów uznano, że naruszenie ochrony danych prawdopodobnie spowoduje wysokie ryzyko naruszenia praw i wolności wszystkich osób, których dane dotyczą. W związku z tym możliwe jest wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzieży tożsamości lub oszustwa)”.

Podobnych wątpliwości (że ujawnienie numeru PESEL wraz z innymi danymi osobowymi może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych) nie miał również Wojewódzki Sąd Administracyjny w Warszawie, który w wyroku z dnia 22 września 2021 r., sygn. akt II SA/Wa 791/21, stwierdził, że „Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w przypadku osób, których dane osobowe – w niektórych przypadkach łącznie z numerem ewidencyjnym Pesel lub serią i nr dowodu osobistego – zostały utrwalone na udostępnionych nagraniach. Nie bez znaczenia dla takiej oceny jest możliwość w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.”. Dalej Sąd w powołanym orzeczeniu wskazał, że „Dane zostały bowiem udostępnione nieuprawnionym osobom, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych obejmujących w niektórych przypadkach również numer ewidencyjny PESEL lub serię i nr dowodu osobistego przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.” Rozważając powyższe kwestie należy przywołać również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie wyrażone w wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21. W uzasadnieniu tego wyroku Sąd stwierdził, że: „Należy zgodzić się z Prezesem UODO, że utrata poufności numeru PESEL w połączeniu z danymi osobowymi, takimi jak: imię i nazwisko, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom Banku - numer CIF, wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. W przypadku naruszenia takich danych, jak imię, nazwisko oraz numer PESEL, możliwa jest bowiem kradzież lub sfałszowanie tożsamości skutkująca negatywnymi konsekwencjami dla osób, których dane dotyczą. Dlatego też Bank w przedmiotowej sprawie powinien był bez zbędnej zwłoki, stosownie do art. 34 ust. 1 RODO, zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych, tak aby umożliwić im podjęcie niezbędnych działań zapobiegawczych” (podkreślenie własne). Wskazać również należy na wyrok z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, w którym Wojewódzki Sąd Administracyjny w Warszawie podkreślił, że „(…) organ trafnie przyjął, iż wystąpiło wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem z uwagi na możliwość łatwej, w oparciu o ujawnione dane, identyfikacji osób, których dane zostały objęte naruszeniem. Dane te bowiem to imię i nazwisko, adres do korespondencji, numer telefonu, numer PESEL osób posiadających polskie obywatelstwo. W tej sytuacji administrator zobowiązany był do zawiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22, z dnia 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23 oraz z dnia 6 listopada 2023 r., sygn. akt II SA/Wa 996/23.

W świetle powyższego warto przywołać także wyrok Naczelnego Sądu Administracyjnego w Warszawie z dnia 6 grudnia 2023 r., sygn. akt III OSK 2931/21, w którym stwierdzono: „Prezes UODO prawidłowo ustalił, iż doszło do udostępnienia danych m.in. w zakresie imion i nazwisk, a także numerów PESEL osób fizycznych, a więc danych względnie trwałych, niezmiennych, których ujawnienie zawsze może rodzić ryzyko negatywnych skutków dla ww. osób. Podobnie adresy zamieszkania są to dane osobowe, których nieuprawnione udostępnienie stwarza prawdopodobieństwo wysokiego ryzyka negatywnych skutków prawnych niezależnie od tego, iż do ujawnienia adresów doszło po kilku latach od ich aktualizacji”.

Z ostatniego raportu infoDOK^{^[3]} (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i Administracji i we współpracy m.in. z Policją oraz Federacją Konsumentów), wynika, że w samym III kwartale 2023 r. odnotowano 2587 prób wyłudzeń kredytów i pożyczek na łączną kwotę 104,1 mln zł. W całym 2021 r. odnotowano natomiast 8096 prób wyłudzeń kredytów na łączną kwotę 336,6 mln zł, zaś w całym 2022 r. 8 079 prób wyłudzeń kredytów.

Ponadto, jak wynika z orzecznictwa sądowego, wyroki w sprawach wyłudzeń kredytów nie są rzadkością i są wydawane przez polskie sądy w podobnych sprawach od dawna. Tytułem przykładu można wskazać na wyrok Sądu Rejonowego w Łęczycy z dnia 27 lipca 2016 r. (sygn. akt I C 566/15), w którym oszuści biorący pożyczkę na cudze dane posłużyli się nr PESEL, zmyślonym adresem oraz niewłaściwym numerem dowodu (nieważnym). W uzasadnieniu ww. wyroku Sąd stwierdził, że:

„Przeprowadzone postępowanie dowodowe oraz analiza dokumentów, załączonych przez stronę powodową, skutkuje tym, iż można jednoznacznie stwierdzić, że w rozpoznawanej sprawie pozwana nie była stroną umowy pożyczki, zawartej w dniu 5 maja 2014 r. Wprawdzie przy jej zawarciu posłużono numerem PESEL pozwanej J. R., lecz wskazane miejsce zamieszkania nie odpowiada miejscu zamieszkania pozwanej. Pozwana J. R. nigdy nie mieszkała w W. Kwota pożyczki została przelana na konto, którego posiadaczem nie była pozwana. W dacie zawarcia umowy pożyczki dowód osobisty nr (...) utracił ważność z dniem 15 marca 2014 r. Nie jest zgodny także numer telefonu komórkowego, wskazany na umowie pożyczki i jej załącznikach z faktycznymi numerami telefonów, jakimi posługiwała się i posługuje pozwana”.

W innej sprawie (I C 693/16) Sąd Rejonowy w Zgierzu w wyroku z dnia 4 listopada 2016 r. orzekł: „Dane osobowe pozwanego w postaci jego imienia i nazwiska i numeru PESEL, które były zgodne z danymi pozwanego nie świadczyły o tym, że pozwany złożył w dniu 17 grudnia 2014 r. oświadczenie woli o zawarciu umowy pożyczki. Nie wykluczone jest bowiem aby osoba, która w sposób niepowołany uzyskała dostęp do danych osobowych pozwanego zawarła na jego rachunek umowę pożyczki ze spółką (...) sp. z o.o. S.K.A. z siedzibą w W. W przedmiotowej sprawie pozwany wykazał iż nigdy nie mieszkał pod adresem wskazanym w umowie pożyczki oraz aby numer telefonu, adres e - mail za pomocą którego zarejestrowano się na stronie internetowej i złożono wniosek o zawarcie pożyczki do niego należały”.

Spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:

Wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z dnia 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe - „W ocenie Sądu zaoferowany przez stroną pozwaną materiał dowodowy - zwłaszcza dokumenty z akt sprawy karnej toczącej się przed Sądem Rejonowym w Tarnowskich Górach o sygnaturze akt VI K 383/16 - świadczą o tym, iż umowę pożyczki z dnia 8 listopada 2014 r. zawarła osoba trzecia, posługująca się niektórymi danymi osobowymi Z. A. Podała ona fałszywy adres zamieszkania, pod którym pozwany nigdy nie zamieszkiwał, zaś kwota pożyczki została przelana na rachunek bankowy, który nie należał do Z. A. […] zaś numer dowodu osobistego podany w tej umowie był numerem dowodu, którym pozwany już się nie posługiwał w dacie zawarcia umowy pożyczki, gdyż dowód ten stracił ważność około 8 miesięcy wcześniej”;
Wyrok Sądu Rejonowego w Piszu z dnia 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (...)”;
Wyrok Sądu Rejonowego w Puławach z dnia 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.

Trzeba również mieć na uwadze, że wykonanie przez Administratora jego obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679 nie może być uzależniane od zaistnienia naruszenia praw lub wolności osób fizycznych, których danych dotyczy naruszenie ochrony danych osobowych. Podobnie jest w przypadku obowiązku wynikającego z art. 33 ust. 1 rozporządzenia 2016/679 jak stwierdził Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 22 września 2021 r. wydanym w sprawie o sygn. II SA/Wa 791/21: „Podkreślić należy, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych” (przy czym Sąd ten podobnie orzekł we wcześniej przywoływanym wyroku z dnia 1 lipca 2022 r. wydanym w sprawie o sygn. akt II SA/Wa 4143/21 oraz w wyrokach z dnia 31 sierpnia 2022 r., sygn. akt II SA/Wa 2993/21, z dnia 15 listopada 2022 r., sygn. akt II SA/Wa 546/22 i z dnia 26 kwietnia 2023 r., sygn. akt II SA/Wa 1272/22). Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze cel tego rozporządzenia (wyrażony w art. 1 ust. 2), którym jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. Z kolei ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów – w tym również w sytuacji, gdy doszło do naruszenia ochrony danych osobowych – należy w pierwszej kolejności brać pod uwagę te wartości.

Warto podkreślić, że dokonując oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest m.in. dokonanie zgłoszenia naruszenia ochrony danych osobowych, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie m.in. obowiązku określonego w art. 33 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych w analizowanym przypadku wystąpiła możliwość zmaterializowania się poważnych negatywnych konsekwencji dla osób, których dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie przedmiotowego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym stwierdzić należy, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

W Wytycznych 9/2022 EROD wskazując czynniki, które należy wziąć pod uwagę przy ocenie ryzyka, odsyła do motywów 75 i 76 rozporządzenia 2016/679, które sugerują, że administrator powinien uwzględnić zarówno prawdopodobieństwo wystąpienia, jak i powagę zagrożenia praw lub wolności osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator powinien skupić swoją uwagę na wynikającym z faktu naruszenia ryzyku wpływu naruszenia na osobę fizyczną. Zatem, oceniając ryzyko dla osoby fizycznej powstałe w wyniku naruszenia ochrony danych osobowych, administrator powinien wziąć pod uwagę konkretne okoliczności naruszenia, w tym dotkliwość potencjalnego wpływu oraz prawdopodobieństwo jego wystąpienia. W związku z powyższym, przy ocenie ryzyka, EROD zaleca uwzględnienie takich kryteriów, jak: rodzaj naruszenia, charakter, wrażliwość i ilość danych osobowych, a także łatwość identyfikacji, ponieważ mogą one mieć wpływ na poziom ryzyka dla osób fizycznych. Ryzyko naruszenia praw i wolności osoby fizycznej zgodnie z Wytycznymi 9/2022 będzie większe, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. Wytyczne wskazują aby, w przypadku jakichkolwiek wątpliwości administrator zgłosił naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.

Podsumowując powyższe rozważania należy stwierdzić, że w przedmiotowym przypadku występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia osób o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679. Bank, który z uwagi na charakter swojej działalności przetwarza dane osobowe na masową skalę, powinien mieć wiedzę o wynikających z przepisów prawa obowiązkach związanych ze stwierdzeniem naruszenia ochrony danych osobowych. Informowanie Administratora o spoczywających na nim obowiązkach w zakresie ochrony danych osobowych, jak również doradzanie Administratorowi, należy również do zadań powołanego w Banku inspektora ochrony danych. Wiedzę w tym zakresie Bank powinien także posiadać z uwagi na wcześniej wydaną wobec niego decyzję nakładającą administracyjną karę pieniężną za naruszenie art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą (decyzja z dnia 19 stycznia 2022 r., sygn. (…)), tym bardziej, że skarga Administratora na tę decyzję została oddalona wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2022 r. (sygn. akt II SA/Wa 546/22).

Odnosząc się do obowiązku Administratora określonego w art. 34 ust. 2 rozporządzenia 2016/679 Prezes UODO stwierdził, że Administrator (biorąc pod uwagę charakter naruszenia oraz kategorie danych, które uległy naruszeniu) powinien wskazać osobom, których dane dotyczą, najbardziej prawdopodobne, negatywne konsekwencje naruszenia ich danych osobowych. Z całą pewnością w przypadku naruszenia takich danych, jak imiona, nazwiska oraz numery ewidencyjne PESEL, należy wskazać przede wszystkim na możliwą kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, pożyczek w instytucjach pozabankowych bądź wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania osobie, której dane dotyczą, odpowiedzialności za dokonanie takiego oszustwa. Opis możliwych konsekwencji powinien bowiem odzwierciedlać ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić jej podjęcie niezbędnych działań zapobiegawczych.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, jak również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wskazano: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Witold Chomiczewski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą, szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Bank nie wywiązał się. Administrator podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osób, których dane dotyczą, w praktyce pozbawił podmioty danych, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu ochrony ich danych osobowych i możliwości przeciwdziałania potencjalnym szkodom.

W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

W tym miejscu należy zaznaczyć, że zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Bank administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Bank administracyjnej kary pieniężnej Prezes UODO – stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie stwierdzono naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 (polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) oraz art. 34 ust. 1 rozporządzenia 2016/679 (polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą). Związane są one ze zdarzeniem polegającym na ujawnieniu danych osobowych klientów Banku w zakresie: imion i nazwisk, daty urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, nazwy użytkowników i/lub hasła, danych dotyczących zarobków i/lub posiadanego majątku, serii i numeru dowodów osobistych, numeru telefonów, informacji o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegóły tych produktów, informacji o polisach ubezpieczenia mienia, tj. m.in. numery polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacje dotyczące ubezpieczonego mienia, w wyniku kradzieży przesyłki zawierającej dokumentację Banku w czasie jej transportu w firmie kurierskiej, a następnie porzuceniu otwartej przesyłki w miejscu ogólnodostępnym, w wyniku czego z dokumentacją zapoznała się osoba nieuprawniona (co najmniej jedna). Zdarzenie to ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. W związku z wystąpieniem naruszenia ochrony danych osobowych, polegającym na utracie przesyłki zawierającej dokumentację bankową, doszło do bezprawnego ujawnienia informacji objętych tajemnicą bankową, co dodatkowo zwiększa powagę naruszenia i wskazuje na możliwość wystąpienia negatywnych skutków zdarzenia dla osób, których dane dotyczą.

Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane osobowe wielu osób, dotyczyło bowiem 158 osób, a pomimo, że w niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba nieuprawniona, doznały szkody majątkowej, to już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową. Jak wskazał Sąd Okręgowy w Warszawie w wyroku z dnia 6 sierpnia 2020 r., sygn. akt XXV C 2596/19, obawa, a więc utrata bezpieczeństwa stanowi realną szkodę niemajątkową wiążącą się z obowiązkiem jej naprawienia. Z kolei Trybunał Sprawiedliwości UE w orzeczeniu z 14 grudnia 2023 r. w sprawie Natsionalna agentsia za prihodite (C-340/21) podkreślił, że „Art. 82 ust. 1 RODO należy interpretować w ten sposób, że obawa przed ewentualnym wykorzystaniem przez osoby trzecie w sposób stanowiący nadużycie danych osobowych, jaką żywi osoba, której dane dotyczą, w następstwie naruszenia tego rozporządzenia może sama w sobie stanowić „szkodę niemajątkową” w rozumieniu tego przepisu”.

Za okoliczność obciążającą Prezes UODO uznaje także długi czas trwania naruszenia przez Bank przepisów rozporządzenia 2016/679, albowiem podkreślić należy, że stan naruszenia, będącego podstawą niniejszego postępowania trwa nadal, a samo naruszenie ma charakter ciągły. Bank bowiem w dalszym ciągu nie dokonał zgłoszenia naruszenia, co uzasadnia niskim ryzykiem naruszenia praw lub wolności osób fizycznych nim dotkniętych; nie zawiadomił także osób o naruszeniu ochrony ich danych osobowych. Z kolei informację o naruszeniu ochrony danych osobowych, tj. znalezieniu porzuconych dokumentów klientów Banku, Administrator powziął w dniu 24 listopada 2018 r., zatem na przestrzeni tych lat ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia o nim osób, których dane dotyczą.

2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r., zatwierdzonymi przez EROD w dniu 25 maja 2018 r.), umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Bank podjął świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą. Nie ulega wątpliwości, że Bank, przetwarzając dane osobowe na masową skalę, musi mieć wiedzę w zakresie ochrony danych osobowych, obejmującą wiedzę o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a wiedzy tej wymagać można nie tylko od administratora lecz również od powołanego przez niego inspektora ochrony danych). Niewątpliwie źródłem wiedzy dla Banku w zakresie obowiązków związanych z naruszeniem ochrony danych osobowych jest również decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 19 stycznia 2022 r. (opisana poniżej, w punkcie 3), na którą skarga Banku została oddalona wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2022 r. (sygn. akt II SA/Wa 546/22). Nałożona ww. decyzją administracyjna kara pieniężna wraz z obszernym uzasadnieniem, w którym Prezes UODO powołał obowiązujące przepisy i wytyczne, zawiera niezbędne informacje o obowiązkach Administratora związanych ze stwierdzonym naruszeniem ochrony danych osobowych. Można więc uznać, że Administrator, będąc świadomym ciążącej na nim odpowiedzialności, zlekceważył swoje obowiązki związane z naruszeniem ochrony danych i zaniechał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadomienia osób, których dane dotyczą, o naruszeniu. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości, co do słuszności przyjętego przez niego stanowiska.

3. Wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
Przy podejmowaniu decyzji o nałożeniu i wysokości administracyjnej kary pieniężnej, organ nadzorczy zobowiązany jest do zwrócenia uwagi na wszelkie wcześniejsze naruszenia rozporządzenia 2016/679. EROD w Wytycznych 04/2022^{^[4]} w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych 24 maja 2023 r wprost wskazuje: „Istnienie wcześniejszych naruszeń można uznać za czynnik obciążający przy obliczaniu wysokości kary pieniężnej. Waga przypisywana temu czynnikowi powinna być ustalana z uwzględnieniem charakteru i częstotliwości wcześniejszych naruszeń. Brak wcześniejszych naruszeń nie może jednak zostać uznany za okoliczność łagodzącą, ponieważ przestrzeganie przepisów [rozporządzenia 2016/679] stanowi normę” (pkt 94 wytycznych).

Prezes UODO prowadził już wcześniej postępowanie administracyjne wobec Banku (opisane dalej w niniejszym punkcie) w przedmiocie naruszenia obowiązku wynikającego z art. 34 ust. 1 rozporządzenia 2016/679 z uwagi na niezawiadomienie o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą. Decyzją z dnia 19 stycznia 2022 r., sygn. (…), Prezes UODO nałożył na Bank administracyjną karę pieniężną w wysokości 545.748,- PLN za naruszenie tego przepisu rozporządzenia 2016/679. Powyższa decyzja, jak wspomniano w punkcie 2, została utrzymana w mocy wyrokiem Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 15 listopada 2022 r., oddalającym skargę Banku (z uwagi na złożenie skargi kasacyjnej przez Bank, sprawa oczekuje aktualnie na rozstrzygnięcie przez Naczelny Sąd Administracyjny). Ponowne naruszenie przepisów rozporządzenia 2016/679 poprzez niezawiadomienie o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, a ponadto także zaniechanie zawiadomienia Prezesa UODO o stwierdzonym naruszeniu ochrony danych osobowych świadczy o lekceważącym podejściu Banku do obowiązków związanych z przetwarzaniem danych osobowych, bagatelizowaniu incydentu i niedostrzeganiu jego skutku dla Podmiotów Danych. Naruszenie przepisów rozporządzenia 2016/679, będące przedmiotem niniejszego postępowania, nie będące jak wskazano jednorazowym przypadkiem, zasługuje na negatywną ocenę, której wyrazem jest nałożenie na Bank administracyjnej kary pieniężnej.

Stosownie do wytycznych EROD 04/2022 „Mimo że wszystkie wcześniejsze naruszenia mogą stanowić informację o ogólnym podejściu administratora lub podmiotu przetwarzającego do przestrzegania przepisów RODO, większe znaczenie należy przypisać naruszeniom dotyczącym tego samego przedmiotu, ponieważ są one bliższe naruszeniu będącemu przedmiotem obecnego postępowania, w szczególności gdy administrator lub podmiot przetwarzający dopuścili się wcześniej tego samego naruszenia (powtarzające się naruszenia)” (pkt 88 wytycznych). „Przede wszystkim należy uwzględnić moment, w którym miało miejsce wcześniejsze naruszenie, biorąc pod uwagę to, że im dłuższy jest czas pomiędzy tym naruszeniem a naruszeniem będącym przedmiotem obecnie trwającego postępowania, tym mniejsze jest znaczenie owego wcześniejszego naruszenia” (pkt 84 wytycznych). Z uwagi na to, że organ nadzorczy prowadził już wobec Santander Bank Polska S.A. postępowanie w sprawie naruszenia art. 34 ust. 1 rozporządzenia 2016/679, które skutkowało wydaniem decyzji nakładającej administracyjną karę pieniężną, niewątpliwie uznać należy tę okoliczność za wpływającą obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.

Ponadto, organ nadzorczy stwierdził w innych wydawanych decyzjach administracyjnych naruszenie przez Administratora przepisów o ochronie danych osobowych:
- w decyzji z dnia 17 grudnia 2020 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 oraz art. 21 ust. 3 w związku z art. 12 ust. 3 rozporządzenia 2016/679;
- w decyzji z dnia 22 kwietnia 2021 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679;
- w decyzji z dnia 29 czerwca 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 30 czerwca 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 7 lipca 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 19 sierpnia 2022 r. (sygn. (…)) naruszenie przepisu art. 15 ust. 1 w zw. z art. 12 ust. 3 rozporządzenia 2016/679;
- w decyzji z dnia 30 sierpnia 2022 r. (sygn. (…)) naruszenie przepisu art. 15 ust. 1 w zw. z art. 12 ust. 3 rozporządzenia 2016/679;
- w decyzji z dnia 28 września 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 10 listopada 2022 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 18 listopada 2022 r. (sygn. (…)) naruszenie przepisu art. 12 ust. 3 w zw. z art. 15 ust. 3 rozporządzenia 2016/679;
- w decyzji z dnia 9 stycznia 2023 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 22 sierpnia 2023 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 w zw. z art. 21 ust. 2 i ust. 3 rozporządzenia 2016/679;
- w decyzji z dnia 22 września 2023 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 8 grudnia 2023 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 23 stycznia 2024 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679;
- w decyzji z dnia 30 stycznia 2024 r. (sygn. (…)) naruszenie przepisu art. 6 ust. 1 rozporządzenia 2016/679.

Nie bez znaczenia pozostają opisane powyżej naruszenia, które skutkowały zastosowaniem przez organ nadzorczy środków naprawczych, na ostateczny wymiar nałożonej wobec Administratora kary. Organ nadzorczy dostrzega związek pomiędzy wcześniej stwierdzonymi naruszeniami, a obecnie analizowanymi naruszeniami, jak np. zbliżony modus operandi Banku, polegający na celowym niedostarczeniu podmiotom do tego uprawnionym określonych danych osobowych i informacji, co miało miejsce np. w przypadku naruszenia art. 15 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679, czy choćby nawet częstotliwość dokonywanych przez Administratora naruszeń przepisów o ochronie danych osobowych. Jak bowiem wynika z przedstawionej powyżej listy wydawanych przez Prezesa UODO decyzji, na przełomie 4 ostatnich miesięcy, organ nadzorczy wydał już 3 decyzje, w których zastosował względem Santander Bank Polska S.A. środek naprawczy.

Udzielenie zatem licznych upomnień, a następnie nałożenie kary pieniężnej w sprawie o sygn. (…), uzasadnia nie tylko samo wymierzenie sankcji finansowej w niniejszym postępowaniu, ale także jej wysoki wymiar.

Z uwagi na powyższe, w przedmiotowej sprawie należy uznać, że istnieją podstawy do traktowania przesłanki z art. 83 ust. 2 lit. e) rozporządzenia 2016/679 jako obciążającej.

4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Banku. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

5. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Ujawnione dane osobowe nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, ani danych wskazanych w art. 10 rozporządzenia 2016/679, jednakże fakt, iż w porzuconej dokumentacji zawarto szeroki ich zakres w postaci: imienia i nazwiska, data urodzenia, numer rachunku bankowego, adresu zamieszkania lub pobytu, numeru ewidencyjnego PESEL, adresu e-mail, nazwy użytkownika i/lub hasła, danych dotyczących zarobków i/lub posiadanego majątku, serii i numeru dowodu osobistego, numeru telefonu, informacji o produktach bankowych, kredytach, rachunkach bankowych, tj. nazwy umów, daty ich zawarcia, szczegółów tych produktów, a ponadto informacji o polisach ubezpieczenia mienia, tj. m.in. numerów polis, daty ich wystawienia, sumy ubezpieczenia, składki na ubezpieczenie, informacji dotyczących ubezpieczonego mienia, wiąże się to wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Numer PESEL, czyli jedenastocyfrowy symbol numeryczny, jednoznacznie identyfikujący osobę fizyczną, zawierający datę urodzenia, numer porządkowy, oznaczenie płci oraz liczbę kontrolną, a więc ściśle powiązany ze sferą prywatną osoby fizycznej oraz podlegający również, jako krajowy numer identyfikacyjny, wyjątkowej ochronie na gruncie art. 87 rozporządzenia 2016/679, jest daną o szczególnym charakterze i takiej szczególnej ochrony wymaga. Nie ma innej, tak konkretnej danej, która by w sposób jednoznaczny identyfikowała osobę fizyczną. Nie bez powodu numer PESEL służy jako dana identyfikująca każdą osobę i jest powszechnie używany w kontaktach z różnymi instytucjami oraz w obiegu prawnym. Numer PESEL wraz z imieniem i nazwiskiem w sposób jednoznaczny identyfikuje osobę fizyczną, w sposób pozwalający przypisać negatywne skutki naruszenia (np. kradzież tożsamości, wyłudzenie pożyczki) tej konkretnej osobie.

W tym kontekście warto przywołać wytyczne EROD 04/2022, w których to wskazano: „Jeśli chodzi o wymóg uwzględnienia kategorii danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g) [rozporządzenia 2016/679]), w [rozporządzeniu 2016/679] wyraźnie wskazano rodzaje danych, które podlegają szczególnej ochronie, a tym samym bardziej rygorystycznej reakcji przy nakładaniu kar pieniężnych. Dotyczy to co najmniej rodzajów danych objętych art. 9 i 10 [rozporządzenia 2016/679] oraz danych nieobjętych zakresem tych artykułów, których rozpowszechnianie natychmiast powoduje szkody lub dyskomfort osoby, której dane dotyczą (np. danych dotyczących lokalizacji, danych dotyczących komunikacji prywatnej, krajowych numerów identyfikacyjnych lub danych finansowych, takich jak zestawienia transakcji lub numery kart kredytowych). Ogólnie rzecz biorąc, im większej liczby takich kategorii danych dotyczy naruszenie lub im bardziej wrażliwe są dane, tym większa wagę organ nadzorczy może przypisać takiemu czynnikowi. Znaczenie ma również ilość danych dotyczących każdej osoby, której dane dotyczą, ponieważ wraz z ilością danych dotyczących każdej osoby, której dane dotyczą, wzrasta skala naruszenia prawa do prywatności i ochrony danych osobowych”.

Warto raz jeszcze wskazać na kształtujące się w tym zakresie orzecznictwo, gdzie dla przykładu w wyroku z dnia 15 listopada 2022 r. o sygn. II SA/Wa 546/22 Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Oczywistym też było, że organ określając wymiar kary musiał uwzględnić fakt, że naruszenie dotyczyło danych o wielkiej wrażliwości (m.in. PESEL, adres, dane o stanie zdrowia)”. Pogląd ten podzielony został także przez ww. Sąd w wyroku z dnia 21 czerwca 2023 r. w sprawie o sygn. akt II SA/Wa 150/23, gdzie Wojewódzki Sąd Administracyjny w Warszawie wskazał: „Reasumując Sąd stoi na stanowisku, że ujawnienie numeru PESEL, wskazuje na wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.

Ustalając wysokość administracyjnej kary pieniężnej Prezes UODO nie znalazł podstaw do uwzględnienia okoliczności łagodzących, mających wpływ na ostateczny wymiar kary. Wszystkie przesłanki wymienione w art. 83 ust. 2 lit. a)-j) rozporządzenia 2016/679 w ocenie organu nadzorczego stanowią albo przesłanki obciążające albo jedynie neutralne. Również stosując przesłankę wymienioną w art. 83 ust. 2 lit. k) rozporządzenia 2016/679 (nakazującą wzięcie pod uwagę wszelkich innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności sprawy) nie znaleziono żadnych okoliczności łagodzących.

Inne, niżej wskazane okoliczności, o których mowa w art. 83 ust. 2 rozporządzenia 2016/679, po dokonaniu oceny ich wpływu na stwierdzone w niniejszej sprawie naruszenie, zostały przez Prezesa UODO uznane za neutralne w jego ocenie, to znaczy nie mające ani obciążającego ani łagodzącego wpływu na wymiar orzeczonej administracyjnej kary pieniężnej:

1. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Na postawie zgromadzonego w sprawie materiału dowodowego nie stwierdzono podjęcia przez Administratora takich działań.

2. Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).
Naruszenie przepisów rozporządzenia 2016/679 oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi.

3. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
Prezes UODO nie został poinformowany o naruszeniu ochrony danych osobowych stanowiącym przedmiot niniejszej sprawy zgodnie z przewidzianą dla takich sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. O zaistnieniu przedmiotowego naruszenia związanego ze zdarzeniem polegającym na ujawnieniu danych osobowych klientów Banku, w wyniku kradzieży przesyłki zawierającej dokumentację bankową, dotyczącą 158 osób w czasie jej transportu w firmie kurierskiej, a następnie porzuceniu otwartej przesyłki w miejscu ogólnodostępnym, w wyniku czego z dokumentacją zapoznała się osoba nieuprawniona, Prezes UODO powziął informację z komunikatu na portalu (…), gdzie opisany został incydent „wycieku dokumentów klientów banku”, które „zostały znalezione w kartonowym pudełku porozrzucane na zamkniętym osiedlu w K.”. Brak zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych oraz zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, jest jedynym przedmiotem niniejszego postępowania i w okolicznościach rozważanego stanu faktycznego organ nadzorczy przyjął, że przesłanki tej nie potraktuje jako okoliczności obciążającej.

4. Przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679).
Przed wydaniem niniejszej decyzji Prezes UODO nie stosował wobec Administratora w rozpatrywanej sprawie żadnych środków wymienionych w art. 58 ust. 2 rozporządzenia 2016/679, w związku z czym Administrator nie miał obowiązku podejmowania żadnych działań związanych z ich stosowaniem, a które to działania, poddane ocenie Prezesa UODO, mogłyby mieć obciążający lub łagodzący wpływ na ocenę stwierdzonego naruszenia.

5. Stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679).
Administrator nie stosuje instrumentów, o których mowa w art. 40 i art. 42 rozporządzenia 2016/679. Ich przyjęcie, wdrożenie i stosowanie nie jest jednak – jak stanowią przepisy rozporządzenia 2016/679 – obowiązkowe dla administratorów i podmiotów przetwarzających, w związku z czym okoliczność ich niestosowania nie może być w niniejszej sprawie poczytana na niekorzyść Administratora. Na korzyść Administratora natomiast mogłaby być uwzględniona okoliczność przyjęcia i stosowania tego rodzaju instrumentów jako środków gwarantujących wyższy niż standardowy poziom ochrony przetwarzanych danych osobowych.

6. Osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k rozporządzenia 2016/679).
Prezes UODO nie stwierdził, żeby Administrator w związku z naruszeniem odniósł jakiekolwiek korzyści finansowe lub uniknął tego rodzaju strat. Brak jest więc podstaw do traktowania tej okoliczności jako obciążającej Administratora. Stwierdzenie zaistnienia wymiernych korzyści finansowych wynikających z naruszenia przepisów rozporządzenia 2016/679 należałoby ocenić zdecydowanie negatywnie. Natomiast nieosiągnięcie przez Administratora takich korzyści, jako stan naturalny, niezależny od naruszenia i jego skutków, jest okolicznością, która z istoty rzeczy nie może być łagodzącą dla Administratora. Potwierdza to samo sformułowanie przepisu art. 83 ust. 2 lit. k) rozporządzenia 2016/679, który nakazuje organowi nadzorczemu zwrócić należytą uwagę na korzyści „osiągnięte” – zaistniałe po stronie podmiotu dokonującego naruszenia.

Prezes UODO nie dostrzega innych obciążających lub łagodzących czynników mających zastosowanie do okoliczności niniejszej sprawy.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Biorąc pod uwagę administracyjną karę pieniężną nałożoną na Bank poprzednią decyzją Prezesa Urzędu Ochrony Danych Osobowych (sygn. (…)), należy przyjąć, że jej wysokość nie była skuteczna, dlatego Prezes UODO zdecydował się na zwiększenie wysokości kary nałożonej niniejszą decyzją. Kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank profesjonalnie i na skalę masową przetwarzający dane osobowe, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

W ocenie Prezesa UODO administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Bank przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Bankowi, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ich ograniczenie.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), zwanej dalej „uodo”, równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

Mając powyższe na uwadze, Prezes UODO, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 uodo, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Bank – stosując średni kurs euro z dnia 29 stycznia 2024 r. (1 EUR = 4,3653 PLN) - administracyjną karę pieniężną w kwocie 1 440 549,- PLN (co stanowi równowartość 330.000,- EUR).

W ocenie Prezesa UODO zastosowana kara pieniężna w wysokości 1 440 549,- PLN (słownie: jeden milion czterysta czterdzieści tysięcy pięćset czterdzieści dziewięć złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes UODO uznał, że jest ona proporcjonalna do sytuacji finansowej Administratora i nie będzie stanowiła dla niego nadmiernego obciążenia.

Z przedstawionego przez Administratora „Raportu Rocznego Santander Bank Polska S.A. za 2022 rok” wynika, że łączne przychody Banku (tj. odsetkowe, z tytułu prowizji oraz z tytułu dywidend) w 2022 r. wyniosły 13.061.886.000,- PLN, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,01% ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary 1 440 549,-PLN to zaledwie 0,55% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 maksimum kary w wysokości do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego (tj. 261.237.720 PLN) – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia.

Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Banku. Zdaniem Prezesa UODO, Bank powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby Raport Roczny Banku, przesłany do Prezesa UODO w dniu 5 stycznia 2024 r.

Jednocześnie Prezes UODO na podstawie art. 83 ust. 3 rozporządzenia 2016/679 zdecydował o nałożeniu jednej kary za dwa naruszenia przypisane Administratorowi w postępowaniu o sygn. DKN.5131.59.2022. Źródłem obu naruszeń jest to samo zdarzenie, tj. utrata przesyłki z dokumentami bankowymi zawierającymi dane klientów Banku, oraz następująca po niej decyzja Banku o niezgłoszeniu owego faktu Prezesowi UODO i niezawiadomieniu o naruszeniu ochrony danych osobowych osób, których dane dotyczą. Zdarzenia te są ze sobą tak kontekstowo, przestrzennie i czasowo powiązane, że stosownie do Wytycznych EROD nr 4/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO należy je traktować jako jedno zachowanie administratora, prowadzące do wymierzenia jednej kary pieniężnej (pkt 28 wytycznych).

Na koniec koniecznym jest wskazanie, że ustalając w niniejszej sprawie wysokość administracyjnej kary pieniężnej Prezes UODO zastosował metodykę przyjętą przez Europejską Radę Ochrony Danych w Wytycznych 04/2022 dotyczących obliczania administracyjnych kar pieniężnych na podstawie RODO przyjętych dnia 24 maja 2023 r. Zgodnie z przedstawionymi w tym dokumencie wskazówkami:

1. Prezes UODO dokonał kategoryzacji stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 (vide Rozdział 4.1 Wytycznych 04/2022). Stwierdzone w niniejszej sprawie naruszenia obu przepisów rozporządzenia 2016/679 (art. 33 ust. 1 oraz art. 34 ust. 1) należą – zgodnie z art. 83 ust. 4 lit. a) rozporządzenia 2016/679 – do kategorii naruszeń zagrożonych karą niższą z dwóch przewidzianych w rozporządzeniu 2016/679 wymiarów kar (z maksymalną wysokością do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego). Zostały więc one in abstracto (w oderwaniu od indywidualnych okoliczności konkretnej sprawy) uznane przez prawodawcę unijnego za mniej poważne niż naruszenia wskazane w art. 83 ust. 5 rozporządzenia 2016/679).

2.Prezes UODO ocenił stwierdzone w niniejszej sprawie naruszenia jako naruszenia o niskim poziomie powagi (vide Rozdział 4.2 Wytycznych 04/2022). W ramach tej oceny wzięte zostały pod uwagę te przesłanki spośród wymienionych w art. 83 ust. 2 rozporządzenia 2016/679, które tyczą się strony przedmiotowej naruszeń (składają się na „powagę” naruszenia), to jest: charakter, waga i czas trwania naruszeń (art. 83 ust. 2 lit. a) rozporządzenia 2016/679), umyślny lub nieumyślny charakter naruszeń (art. 83 ust. 2 lit. b) rozporządzenia 2016/679) oraz kategorie danych osobowych, których dotyczyły naruszenia (art. 83 ust. 2 lit. g) rozporządzenia 2016/679). Szczegółowa ocena tych okoliczności przedstawiona została powyżej. W tym miejscu wskazać należy, że rozważenie ich łącznego wpływu na ocenę stwierdzonych w niniejszej sprawie naruszeń traktowanych w całości prowadzi do wniosku, że poziom ich powagi również in concreto jest niski (w skali powagi naruszeń przedstawionej w pkt 60 Wytycznych 04/2022). Konsekwencją tego jest zaś przyjęcie – jako kwoty wyjściowej do obliczenia kary – wartości mieszczącej się w przedziale od 0 do 10% maksymalnej wysokości kary możliwej do orzeczenia wobec Banku. Zważywszy, że przepis art. 83 ust. 4 rozporządzenia 2016/679 zobowiązuje Prezesa UODO do przyjęcia jako maksymalnej wysokości kary za naruszenia wskazane w tym przepisie kwoty 10 000 000 EUR lub – o ile wartość ta jest wyższa niż 10 000 000 EUR – kwoty stanowiącej 2% obrotu Spółki z poprzedniego roku obrotowego, Prezes UODO uznał, że zastosowanie w niniejszej sprawie ma tzw. dynamiczna maksymalna kwota kary – 59 844 162 EUR – wynikająca z zastosowania 2-procentowego wskaźnika przyłożonego do obrotu Banku za 2022 r., którego wartość wyniosła 2 992 208 096 EUR (równowartość 13 061 886 000 zł). Mając do dyspozycji przedział od 0 do 59 844 162 EUR, Prezes UODO przyjął, jako adekwatną i uzasadnioną okolicznościami sprawy, kwotę wyjściową do obliczenia wysokości kary wynoszącą 2 393 766 000 EUR (stanowiącą 4% dynamicznej maksymalnej wysokości kary).

3. Stosownie do wskazówki Europejskiej Rady Ochrony Danych przedstawionej w pkt 66 Wytycznych 04/2022 (w odniesieniu do przedsiębiorstw, których roczny obrót wynosi powyżej 500 mln EUR) Prezes UODO nie uznał za zasadne skorzystanie z możliwości obniżenia przyjętej w oparciu o ocenę powagi naruszenia kwoty wyjściowej, którą to możliwość wytyczne te (w Rozdziale 4.3) przewidują dla przedsiębiorstw o mniejszej wielkości i sile gospodarczej. EROD wskazuje w nich bowiem, że w przypadku wielkich podmiotów (a takim jest w niniejszej sprawie niewątpliwie jest Bank, o czym świadczą osiągane przez niego obroty) „wielkość przedsiębiorstwa jest już odzwierciedlona w dynamicznej ustawowej maksymalnej kwocie” (pkt 66 Wytycznych 04/2022).

4. Prezes UODO dokonał oceny wpływu na stwierdzone naruszenie pozostałych (poza tymi uwzględnionymi wyżej w ocenie powagi naruszenia) okoliczności wskazanych w art. 83 ust. 2 rozporządzenia 2016/679 (vide Rozdział 5 Wytycznych 04/2022). Okoliczności te, mogące mieć obciążający lub łagodzący wpływ na ocenę naruszenia, odnoszą się – jak zakładają Wytyczne 04/2022 – do strony podmiotowej naruszenia, to jest do samego podmiotu będącego sprawcą naruszenia oraz do jego zachowania przed naruszeniem, w jego trakcie, i po jego zaistnieniu. Szczegółowa ocena i uzasadnienie wpływu każdej z tych przesłanek na ocenę naruszenia przedstawione zostały powyżej. Prezes UODO uznał (co uzasadnione zostało w przedstawionej wyżej części uzasadnienia decyzji), że okolicznościami obciążającymi w niniejszej sprawie, i w związku z tym dodatkowo zwiększającymi wymiar orzeczonej niniejszą decyzją kary, są stwierdzone przez Prezesa UODO stosowne wcześniejsze naruszenia ze strony Banku (art. 83 ust. 2 lit. e) rozporządzenia 2016/679), a także stopień współpracy Banku z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) rozporządzenia 2016/679). Pozostałe przesłanki (z art. 83 ust. 2 lit. c), d), h), i), j), k) rozporządzenia 2016/679) – jak wskazano wyżej – nie miały wpływu, ani łagodzącego ani obciążającego, na ocenę naruszenia i w konsekwencji na wymiar kary. Ze względu na zaistnienie więc w sprawie dodatkowych okoliczności obciążających, związanych ze stroną podmiotową naruszeń (oceną postępowania Banku przed i po naruszeniach), za zasadne Prezes UODO uznał zwiększenie kwoty kary ustalonej na podstawie oceny powagi naruszeń (pkt 2 powyżej). Adekwatnym do wpływu tych przesłanek na ocenę naruszeń jest w ocenie Prezesa UODO jej podwyższenie do kwoty 2 600 000 EUR.

5. Prezes UODO stwierdził, że ustalona w przedstawiony wyżej sposób kwota administracyjnej kary pieniężnej nie przekracza – stosownie do art. 83 ust. 3 rozporządzenia 2016/679 – prawnie określonej maksymalnej wysokości kary przewidzianej dla najpoważniejszego naruszenia (vide Rozdział 6 Wytycznych 04/2022). W przypadku obu stwierdzonych w niniejszej sprawie naruszeń przepisów rozporządzenia 2016/679 prawnie określona maksymalna wysokość kary (dynamiczna) jest taka sama – wynosi, jak zostało wskazane powyżej w pkt 2, 59 844 162 EUR, to jest 2% obrotu Banku osiągniętego w 2022 r. Oba naruszenia mają więc tę samą powagę, a wskazana powyżej kwota kary 2 600 000 EUR w sposób oczywisty nie przekracza maksymalnego zagrożenia karą przewidzianego dla każdego z nich z osobna.

6. Pomimo tego, że ustalona zgodnie z powyższymi zasadami kwota kary nie przekracza prawnie określonego maksimum kary Prezes UODO uznał, że wymaga ona dodatkowej korekty ze względu na zasadę proporcjonalności wymienioną w art. 83 ust. 1 rozporządzenia 2016/679 jako jedną z trzech dyrektyw wymiaru kary (vide Rozdział 7 Wytycznych 04/2022). Niewątpliwie kara pieniężna w wysokości 2 600 000 EUR byłaby karą skuteczną (przez swoją dolegliwość pozwoliłaby osiągnąć swój cel represyjny, którym jest ukaranie za bezprawne zachowanie) i odstraszającą (pozwalającą skutecznie zniechęcić zarówno Spółkę, jak i innych administratorów do popełniania w przyszłości naruszeń przepisów rozporządzenia 2016/679). Kara taka byłaby jednak – w ocenie Prezesa UODO – karą nieproporcjonalną zarówno w stosunku do wagi stwierdzonych naruszeń (która in abstracto i in concreto jest niska – vide pkt 1 i 2 powyżej), jak i ze względu na swoją nadmierną – w odniesieniu do tej wagi – dolegliwość. Zasada proporcjonalności wymaga bowiem m.in., by przyjęte przez organ administracyjny środki nie wykraczały poza to, co odpowiednie i konieczne do realizacji uzasadnionych celów (vide pkt 137 i pkt 139 Wytycznych 04/2022). Innymi słowy: „Sankcja jest proporcjonalna, jeśli nie przekracza progu dolegliwości określonego przez uwzględnienie okoliczności konkretnego przypadku” (P. Litwiński (red.), Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. […]; Komentarz do art. 83 [w:] P. Litwiński (red.) Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz). Mając więc na uwadze wzgląd na proporcjonalność kary Prezes UODO dokonał dalszego obniżenia wysokości kary –do kwoty 330 000 EUR (równowartość 1 440 549 zł). W jego ocenie takie określenie ostatecznej wysokości orzeczonej kary nie wpłynie na obniżenie jej skuteczności i odstraszającego charakteru. Kwota ta bowiem stanowi próg, powyżej którego dalsze zwiększanie wysokości kary nie będzie wiązało się ze wzrostem jej skuteczności i odstraszającego charakteru. Z drugiej natomiast strony obniżenie w większym stopniu wysokości kary mogłoby się odbyć kosztem jej skuteczności i odstraszającego charakteru, a także spójnego – w odniesieniu do innych organów nadzorczych oraz EROD – rozumienia, stosowania i egzekwowania rozporządzenia 2016/679, oraz zasady równego traktowania podmiotów na rynku wewnętrznym UE i EOG.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

[1] Ww. wytyczne zaktualizowały i uzupełniły Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (Wp250 rev.01), przyjęte w dniu 3 października 2017 r.

[2] Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów dotyczących powiadomienia o naruszeniu danych osobowych przyjęte w dniu 14 grudnia 2021 r., wersja 2.0 (dalej „Wytyczne 01/2021”).

[3] https://www.zbp.pl/getmedia/2d3304db-34e6-4929-94cc-b9390456ff7a/infodok-2023-07-09-wydanie-55-sklad-231023-gk08

[4] Wytyczne 04/2022 w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO przyjęte w dniu 24 maja 2023 r., wersja 2.1,dalej zwane „Wytycznymi 04/2022” (opublikowane pod adresem: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_pl).

Wytworzył informację:

Mirosław Wróblewski

2024-03-12

Wprowadził informację:

Wioletta Golańska

2024-03-28 09:31:35

Ostatnio modyfikował:

Edyta Madziar

2024-04-02 10:06:12