Naczelny Sąd Administracyjny wstrzymał wykonanie decyzji prezesa Urzędu Ochrony Danych Osobowych zobowiązującej bank do powiadomienia klientów o zagrożeniu ich danych.

Rzecz dotyczy sytuacji, do której doszło w pierwszym roku obowiązywania RODO: w listopadzie 2018 r. przesyłka z dokumentami Santander Banku została skradziona firmie kurierskiej w czasie transportu, a następnie porzucona na osiedlu mieszkaniowym. W środku były informacje o klientach banku.

Niedługo po incydencie pisały o tym serwisy internetowe. Z jednym z takich artykułów organ ochrony danych osobowych zapoznał się w sierpniu 2022 r. W odpowiedzi na pytania UODO bank wyjaśnił, że naruszenie ochrony danych osobowych objęło maksymalnie 158 osób, które nie zostały o tym zawiadomione. Nie zgłoszono też tego faktu prezesowi UODO.

Dalsze dociekania pozwoliły urzędowi ustalić, że w skradzionych i porzuconych dokumentach były m.in. nazwiska i imiona klientów banku, ich daty urodzenia, numery rachunków bankowych, adresy, numery dowodów osobistych, numery PESEL, hasła, dane o zarobkach oraz informacje o polisach ubezpieczenia mienia. W tej sytuacji UODO wszczął postępowanie w sprawie możliwości naruszenia RODO.

Santander Bank uzasadniał brak powiadomienia o wycieku tym, że w jego ocenie ryzyko naruszenia praw i wolności podmiotów danych było niskie – m.in. dlatego, że kompletną dokumentację znaleziono i przekazano policji w krótkim czasie po jej utracie przez kuriera. UODO nie podzielił tej opinii. Podkreślił zakres danych objętych naruszeniem i wskazał na możliwe negatywne konsekwencje – jak kradzież tożsamości. Decyzją z 12 marca br. organ nałożył na bank 1,4 mln zł kary oraz nakazał w terminie trzech dni zawiadomienie osób, których ochrona danych została naruszona.

Bank zaskarżył decyzję i wniósł o wstrzymanie wykonania drugiego z jej punktów. WSA nie uwzględnił tego wniosku (postanowienie z 8 lipca br., sygn. akt II SA/Wa 774/24).

W zażaleniu na to postanowienie Santander podniósł, że WSA nie odniósł się do jego argumentacji wskazującej na istnienie podstaw dla wstrzymania wykonania nakazu powiadomienia klientów o wycieku ich danych. Dodał, że obecnie poinformowanie osób o naruszeniu ich danych osobowych nie wywoła oczekiwanego efektu, gdyż podjęcie działań ochronnych po upływie kilku lat od naruszenia będzie prawie niemożliwe. Zawiadomienie – argumentował bank – nie spełni więc swojej roli, będzie natomiast dla adresatów źródłem nieuzasadnionej obawy.

Uwzględniając zażalenie banku, NSA wziął pod uwagę, że przesłanki do wstrzymania wykonania zaskarżonego aktu administracyjnego należy wiązać z sytuacją, która może powstać, gdy zostanie on wykonany, a następnie wzruszony. Jak czytamy w uzasadnieniu postanowienia NSA, „strona skarżąca dostatecznie uprawdopodobniła”, iż w przypadku wykonania drugiego punktu zaskarżonej decyzji, „a następnie ewentualnego uwzględnienia skargi przez sąd administracyjny, przywrócenie poprzedniego stanu nie będzie możliwe”, bo poinformowanie osób o wycieku ich danych „jest czynnością jednorazową o charakterze nieodwracalnym”. ©℗

orzecznictwo