Czy firma kurierska jest administratorem danych osobowych przetwarzanych w przesyłanych dokumentach?

przez

A skoro wczoraj gruchnęło o nałożeniu na DPD Polska karach za naruszenie RODO: kto jest administratorem danych osobowych w przesyłce: firma kurierska, która sprawuje „władztwo” nad powierzonymi jej dokumentami i powinna je prawidłowo zabezpieczyć? Czy nadawca, który zna treść przesyłki i to on wybrał operatora, któremu powierzył dokumenty? Kto więc powinien zgłosić do PUODO zagubienie dokumentów zawierających dane osobowe — operator pocztowy, czy nadawca przesyłki? (wyrok Naczelnego Sądu Administracyjnego z 16 grudnia 2025 r., III OSK 2416/22).

paczkomat Niemcy
Ujęcie czysto ilustracyjne (fot. Olgierd Rudak, CC BY-SA 4.0)

opis stanu faktycznego:

  • sprawa zaczęła się od wysłania z oddziału banku do centrali przesyłki zawierającej dokumenty dwojga klientów (m.in. umowę o prowadzenie rachunku bankowego) zawierające jego dane osobowe (w tym imię i nazwisko oraz numer PESEL);
  • traf chciał, że kurier zgubił przesyłkę, jej poszukiwania spełzły na niczym — zaś bank, uznając, iż zdarzenie powoduje średnie ryzyko dla naruszenia praw i wolności klientów, nie zgłosił naruszenia do PUODO i nie powiadomił zainteresowanych, ograniczając się do przesłania im ogólnikowych informacji;

art. 4 pkt 7 RODO
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

  • informacja o incydencie trafiła do PUODO, który uznał, że nawet przyjmując średni poziom ryzyka administrator nie jest zwolniony z obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, aczkolwiek biorąc pod uwagę rodzaj danych, należało przyjąć, iż zagubienie dokumentów zawierających danych osobowych powoduje wysokie ryzyko, zatem na bank nałożono karę w wysokości 363 tys. zł (decyzja PUODO nr DKN.5131.16.2021 z 14 października 2021 r.; pozostawione w uzasadnieniu okruszki pozwalają stwierdzić, że ukaranym bankiem był Millenium Bank S.A.);

skarga na decyzję:

  • w skardze na tę decyzję bank podnosił, iż za zagubienie przez kuriera dokumentów zawierających dane osobowe powinna odpowiadać firma kurierska, ponieważ to ona w momencie nadania przesyłki stała się ich administratorem;
  • zarazem analiza incydentu dokonana w/g rekomendowanej przez EROD metodyki ENISA wykazała średni poziom naruszenia, zaś sam w sobie wyciek numeru PESEL nie może być traktowane jako skutkujące wysokim poziomem ryzyka, przez co zawiadomienie nie było obowiązkowe;

wyrok WSA:

  • skoro chodzi o dokumenty bankowe, zawierając dane osobowe klientów banku, których cele przetwarzania określił bank, to jest jasne, że bank był ich administratorem;
  • nie ma przy tym znaczenia, że chodzi o zagubioną przesyłkę: operator pocztowy czy firma kurierska jest administratorem danych osobowych wyłącznie w zakresie adresu nadawcy i adresu odbiorcy przesyłki, ale nie w odniesieniu do zwartości przesyłki, już choćby dlatego, że nie zna ich treści i właściwie nawet nie wie czy i jakie dane osobowe tam się znajdują (dla jasności: dokumenty nie muszą przecież dotyczyć adresata);
  • mało tego: wszakże tylko bank był w stanie oszacować ryzyko wynikające ze zgubienia dokumentów, zatem to na nim spoczywają określone obowiązki wynikające z art. 33 i 34 RODO;
  • a skoro wyciek numeru PESEL i innych danych osobowych pociąga za sobą wysokie ryzyko konsekwencji w zakresie prywatności — decyzja o nałożeniu kary była prawidłowa (wyrok WSA w Warszawie z 1 lipca 2022 r., II SA/Wa 4143/21);

skarga kasacyjna:

  • w skardze kasacyjnej bank podtrzymał wcześniejsze stanowisko: skoro zagubione dokumenty znajdowały się pod kontrolą innego podmiotu, to bank nie może być traktowany jako administrator danych osobowych, albowiem powierzając przesyłkę profesjonalnej firmie kurierskiej utrafił ten status;

wyrok NSA:

  • administratorem jest podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych;
  • skoro więc zgubione papiery stanowią dokumenty bankowe, bank decydował nie tylko o ich wytworzeniu, ale też o wysyłce kurierem, zaś firma kurierska nie tylko nie ma dostępu do treści przesyłki, ale też nie ma wiedzy jakie dane się tam znajdują, to oznacza, że jako operator pocztowy nie określała ani celów, ani sposobów ich przetwarzania, zatem nie może być traktowana jako administrator;
  • nie jest przy tym istotne ani fizyczne władztwo nad przesyłką, ani fakt, iż to operator decyduje o sposobie dostarczenia przesyłki, trasie przewozu, środkach zabezpieczenia, ani też okoliczność, że firma miała świadomość, że znajdują się w niej dokumenty bankowe — bo żadna z tych okoliczności nie czyni kuriera administratorem danych osobowych;
  • skoro więc naruszenie bezpieczeństwa, którego skutkiem jest utrata danych osobowych, jest naruszeniem w rozumieniu RODO, zaś konsekwencje mogą polegać na kradzieży lub sfałszowaniu tożsamości (por. wyrok NSA z 1 października 2025 r., III OSK 1830/22).

Biorąc pod uwagę taką wykładnię NSA skargę kasacyjną oddalił.

subskrybuj
Powiadom o
guest

Ta strona używa Akismet do redukcji spamu. Dowiedz się, w jaki sposób przetwarzane są dane Twoich komentarzy.

17 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze
17
0
komentarze są tam :-)x