To koniec prawnych uników i przerzucania odpowiedzialności na firmy kurierskie. Naczelny Sąd Administracyjny w wyroku o sygnaturze III OSK 2416/22 ostatecznie rozwiał nadzieje wielkich korporacji na to, że za błędy w logistyce zapłacą jedynie podwykonawcy. Sprawa dotyczy Banku Millennium, który próbował zbagatelizować zgubienie przesyłki z niezwykle wrażliwymi danymi klientów. Decyzja sądu jest bezlitosna: to bank płaci za błędy, a odpowiedzialność za nasze numery PESEL nie kończy się w momencie przekazania koperty kurierowi. Wyrok ten stanowi dramatyczne ostrzeżenie dla każdej firmy w Polsce – próba ukrycia wycieku danych przed klientami i urzędem będzie słono kosztować.
Paczka zginęła, bank milczał, a dane krążyły w nieznanym kierunku
Scenariusz tego incydentu mrozi krew w żyłach każdego, kto dba o swoją prywatność. Firma kurierska zgubiła korespondencję nadaną przez Bank Millennium. W środku nie znajdowały się ulotki reklamowe, lecz kompletny zestaw danych umożliwiający kradzież tożsamości: imiona, nazwiska, adresy zameldowania, numery rachunków bankowych, numery identyfikacyjne klientów oraz – co najgroźniejsze – numery PESEL. Jednak najbardziej bulwersująca w tej sprawie nie była sama utrata przesyłki, co zdarza się w logistyce, ale reakcja instytucji zaufania publicznego. Bank, zamiast natychmiast bić na alarm, poinformować Prezesa Urzędu Ochrony Danych Osobowych i ostrzec zagrożonych ludzi, uznał sprawę za błahą. Wewnętrzni analitycy ocenili ryzyko jako „średnie”, co w praktyce skazało nieświadomych klientów na życie w niepewności. O wycieku UODO dowiedział się nie od sprawcy zamieszania, lecz ze skargi osoby, która poczuła się zagrożona.
Sądowa batalia o zrzucenie winy na kurieraBank Millennium postanowił walczyć w sądzie, próbując obalić nałożoną przez Prezesa UODO karę w wysokości ponad 350 tysięcy złotych. Linia obrony była prosta i niebezpieczna dla każdego konsumenta: bank twierdził, że w momencie przekazania paczki firmie kurierskiej tracił władztwo nad przesyłką, a co za tym idzie – to przewoźnik stawał się administratorem danych. Gdyby sąd uznał tę argumentację, klienci zostaliby pozostawieni sami sobie w gąszczu podwykonawców. Na szczęście wymiar sprawiedliwości stanął na wysokości zadania. Najpierw Wojewódzki Sąd Administracyjny, a teraz ostatecznie Naczelny Sąd Administracyjny (sygn. III OSK 2416/22), nie zostawili na argumentacji banku suchej nitki. Sędziowie podkreślili, że to bank decyduje o celach i sposobach przetwarzania danych, więc to bank odpowiada za ich bezpieczeństwo na każdym etapie. Fakt, że instytucja nie wiedziała, co stało się z przesyłką, uznano za okoliczność obciążającą, a nie łagodzącą. To dowód na całkowitą utratę kontroli nad powierzonymi sekretami klientów.
Cyniczna gra w gabinetach? Bank wiedział, że przegra, ale liczył na bezkarność
Co najbardziej szokujące w tej sprawie, to kulisy podejmowania decyzji, które wyłaniają się z nieoficjalnych doniesień. Według wewnętrznych informacji płynących z samej instytucji, bankowi decydenci doskonale zdawali sobie sprawę, że batalia sądowa zakończy się dla nich niekorzystnym wyrokiem. Mimo tej świadomości, przyjęto strategię opartą na chłodnej i – jak się okazało – aroganckiej kalkulacji. Wewnątrz firmy uznano bowiem, że zgubienie danych klientów charakteryzuje się „małą szkodliwością czynu”. Bankierzy założyli, że nawet przy przegranej w sądzie, organ nadzorczy nie zdecyduje się na wymierzenie dotkliwej kary finansowej. Ta pewność siebie i bagatelizowanie bezpieczeństwa Polaków okazały się jednak zgubne, a regulator nie dał się nabrać na narrację o niskiej szkodliwości wycieku numerów PESEL.
Kosztowna lekcja i koniec ery bezkarności
Oddalenie skargi kasacyjnej przez NSA oznacza, że wyrok jest prawomocny, a gigantyczna kara administracyjna musi zostać zapłacona. Jest to jednak kosztowna lekcja nie tylko dla Banku Millennium, ale dla całego rynku. Sąd jasno wskazał, że ocena ryzyka dokonywana przez firmy nie może być życzeniowa. Zgubienie numeru PESEL i danych finansowych to zawsze wysokie ryzyko naruszenia praw i wolności obywatelskich. Administratorzy danych, którzy będą próbowali ukrywać takie incydenty „pod dywanem”, nie zgłaszając ich do UODO i nie informując ofiar, muszą liczyć się z surowymi konsekwencjami. Wyrok NSA potwierdza, że bezpieczeństwo informacji to nie tylko zapis w regulaminie, ale realna odpowiedzialność, której nie da się scedować na anonimowego kuriera.
