Dane klientów wylądowały na blokowisku. Bank: kary nie zapłacimy
Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego (NSA). Sprawa dotyczy kary 1,4 mln zł, którą urząd nałożył na Santandera za to, że bank nie zgłosił wycieku danych osobowych po kradzieży dokumentów w 2018 r.
Wojewódzki Sąd Administracyjny w Warszawie uchylił karę, uznając, że się przedawniła. UODO wskazuje, że RODO nie przewiduje terminów przedawnienia dla takich kar, ani nie pozwala krajom członkowskim UE ich wprowadzać.
Prezes UODO argumentuje, że stosowanie krajowych terminów przedawnienia osłabia kluczowe mechanizmy ochrony danych w UE. Zdaniem urzędu termin nałożenia kary powinien być liczony nie od momentu naruszenia, lecz od chwili, gdy bank ostatecznie spełnił swoje obowiązki zgłoszenia incydentu.
UODO proponuje, by NSA skierował pytanie do Trybunału Sprawiedliwości UE. Rozstrzygnięcie może wpłynąć na sposób stosowania RODO w całej Polsce i przyszłość kar za naruszenia ochrony danych osobowych
Co się wydarzyło
Sprawa dotyczy wycieku dokumentów bankowych, do którego doszło w 2018 roku. Dokumenty w kartonowym pudełku porzucone były tuż obok bloków mieszkalnych, bez żadnego zabezpieczenia – niedaleko nie było ani placówki banku, ani firmowego punktu odbioru. O sprawie UODO dowiedział się z relacji użytkownika serwisu wykop.pl.
W przesyłce znajdowały się dane wrażliwe, dotyczące co najmniej 158 osób. Ujawnione informacje obejmowały imiona i nazwiska, daty urodzenia, numery PESEL, dane adresowe i kontaktowe, informacje o zarobkach, serie i numery dowodów osobistych, numery rachunków bankowych, a także loginów i haseł do bankowości online.
Santander nie poczuwa się do winy. Twierdzi, że przesyłka została szybko odnaleziona przez osobę zidentyfikowaną na posterunku policji, bez braków w dokumentach i bez dowodów na nieuprawnione kopiowanie. Bank uznał, że dlatego nie istniało wysokie ryzyko dla osób, których dane dotyczą, i nie zgłosił incydentu ani do UODO, ani do klientów.
Dlaczego UODO nałożył karę?
Prezes UODO uznał, że:
- Bank nie zgłosił naruszenia danych osobowych do organu nadzorczego (art. 33 RODO).
- Bank nie poinformował osób, których dane zostały zagrożone (art. 34 RODO).
Urząd podkreślił, że ryzyko powinno być oceniane „z perspektywy osoby zagrożonej”, a nie wyłącznie administratora. Brak działania pozbawił klientów możliwości reagowania na incydent i chroni swoich danych.
Wielomilionowa kara i wcześniejsze sankcje
Prezes UODO nałożył na bank karę administracyjną w wysokości 1 440 549 zł. To kolejne naruszenie – wcześniej, w styczniu 2022, bank otrzymał 545 748 zł za niepowiadomienie osób poszkodowanych.
W ocenie urzędu, bank naruszał zasady RODO wielokrotnie, a kara ma wymiar zarówno rekompensacyjny, jak i prewencyjny.
Co dalej?
Santander Bank Polska złożył skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie, który ostatecznie uznał, że kara zdążyła się przedawnić. W reakcji Prezes UODO wniósł kasację do Naczelnego Sądu Administracyjnego – sprawa ma charakter precedensowy.
Jeśli sąd przychyli się do stanowiska UODO, będzie to miało znaczący wpływ na interpretację przepisów RODO w Polsce, zwłaszcza w zakresie przedawnienia możliwości nakładania kar.
