UODO nałożył na Bank Millennium karę w wysokości ponad 363 tys. zł. Jak podkreślił organ – obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia.
O naruszeniu ochrony danych UODO dowiedział się ze skargi, która wpłynęła do Banku. Wynikało z niej, że firma kurierska zgubiła korespondencję z danymi osobowymi: imieniem, nazwiskiem, nr PESEL, adresem zameldowania, numerami rachunków bankowych, numerem identyfikacyjnym nadawany klientom banku. Okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Według Banku, ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem było średnie, wobec czego nie zgłosił tego naruszenia organowi nadzorczemu i nie zrealizował obowiązku związanego z powiadomieniem osób, których dane dotyczą. Jednakże, do UODO zgłaszać trzeba te sytuacje, w których przypadku występuje prawdopodobieństwo (wyższe niż małe) niekorzystnego wpływu na prawa lub wolności osób, których dane dotyczą. W momencie kiedy ryzyko jest wysokie, o naruszeniu trzeba powiadomić również osoby, których dane dotyczą. Ryzyka te to m.in.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Dane, które są zawarte w korespondencji mogą spowodować narażenie osób dotkniętych tym incydentem na takie konsekwencje.
Gdyby w przytoczonej sprawie, administrator powiadomił organ nadzorczy, dostałby informację, że należy poinformować o naruszeniu osoby. UODO wskazał, że zważywszy na przepisy o ochronie danych osobowych istotny jest sam fakt, że wystąpiło ryzyko, iż nieuprawniony odbiorca wejdzie w posiadanie danych i się z nimi zapozna, a nie to czy w istocie sytuacja taka ma miejsce. Ważna jest również kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. UODO nałożył karę na administratora, a co więcej, nakazał zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO.
