Zagubiona korespondencja zawierała m.in. imię, nazwisko, numer PESEL, adres zameldowania, numery rachunków bankowych oraz numer identyfikacyjny nadawany klientom banku. Administrator uznał jednak, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest jedynie średnie. Z tego powodu nie zgłosił naruszenia organowi nadzorczemu (UODO) ani nie powiadomił osób, których dane dotyczyły, zgodnie z wymogami RODO.

UODO o zdarzeniu dowiedział się ze skargi złożonej na bank. Stwierdził, że doszło do zaniechania zawiadomienia organu nadzorczego (naruszenie art. 33 ust. 1 RODO) oraz zawiadomienia osób, których dane dotyczą (naruszenie art. 34 ust. 1 RODO), i nałożył na Bank Millennium karę w wysokości 350 tys. zł.

Bank zaskarżył decyzję do Wojewódzkiego Sądu Administracyjnego (WSA) w Warszawie. Sąd przyznał rację UODO, stwierdzając, że incydent stanowił naruszenie ochrony danych osobowych, o którym mowa w art. 4 pkt 12 RODO. Jego znaczenie wzmacniał fakt, że bank nie posiadał informacji o tym, co stało się z zagubioną przesyłką. WSA zgodził się też z organem nadzorczym, że to bank – a nie operator pocztowy – jest administratorem danych osobowych, ponieważ to bank określał cele i sposoby ich przetwarzania. Sąd podkreślił również, że skoro bank w swojej ocenie przyjął średni poziom ryzyka naruszenia praw lub wolności osób, powinien dokonać zgłoszenia do UODO.

Bank wniósł skargę kasacyjną do Naczelnego Sądu Administracyjnego, który jednak nie podzielił jego argumentów i oddalił skargę (wyrok o sygn. III OSK 2416/22).

>> Czytaj także: ​Co wynika za konwencji ramowej ws. AI? Konferencja w UODO