Sprawa ma kilka aspektów. Można przy niej mówić o kwestiach odpowiedzialności podmiotów bankowych (nawet, gdy działanie wynika ze zwykłego błędu systemu informatycznego), ale i o roszczeniach odszkodowawczych leżących po stronie konsumentów.
W przypadku samej klientki, która otrzymuje błędnego smsa z banku z cudzymi danymi, nie ma specjalnych roszczeń, bo nie poniosła ona żadnej istotnej szkody majątkowej ani niemajątkowej, poza odrobiną stresu, że ma nieznane zadłużenie. Jednak fakt, iż udostępniono dane innej osoby, nasuwa podejrzenie, że w systemach bankowych są błędy i również dane klientki mogły zostać udostępnione komuś innemu.
- W celu wyjaśnienia sprawy należy zwrócić się z zapytaniem do banku (co pewnie niewiele da), albo złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych – mówi Piotr Grzelczak radca prawny z kancelarii GFP Legal. – To powinno doprowadzić do zbadania sprawy przez ten organ. W przypadku ustalenia, że doszło do niezgodnego z prawem ujawnienia danych klientki, dojdzie do wyciągnięcia odpowiednich konsekwencji prawno-administracyjnych.
Patrząc od strony osoby, której wrażliwe dane zostały ujawnione, poza złożeniem zawiadomienia o naruszeniu ochrony danych osobowych, w grę wchodzi również dochodzenie roszczeń na drodze sądowej.
- Mamy tutaj dwie podstawy prawne dla tych roszczeń. To naruszenie ochrony danych na bazie RODO i naruszenie tajemnicy bankowej na bazie Prawa Bankowego. W procesie należałoby jednak wykazać poniesioną szkodę, co w tym przypadku chyba nie byłoby takie łatwe – mówi ekspert.
- Nie bez wpływu na to pozostaje odpowiedź na pytanie, jakie dane zostały faktycznie zawarte w smsie, bo skoro klientka, która otrzymała smsa myślała, że to jej zaległość, to pewnie nie było tam imienia i nazwiska innego klienta, a jedynie informacje o samej zaległości i numer rachunku. W takiej sytuacji, ryzyko dla osoby, której dane ujawniono, jest znacznie niższe, bo na ogół osoby postronne po samym rachunku bankowym nie będą w stanie ustalić tożsamości innego klienta banku. Wydaje mi się, że bez dodatkowych okoliczności, tj. sytuacji, kiedy niezgodne z prawem ujawnienie wspomnianego zakresu danych wywołałoby jakieś dodatkowe, niekorzystne skutki trudno będzie uzyskać odszkodowanie – twierdzi Grzelczak.
Co jednak będzie grozić bankowi w reżimie rozporządzenia RODO? Według przepisów, naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
- Jak wskazuje UODO, aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki. Naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie.
Skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych. Naruszenie jest skutkiem złamania zasad bezpieczeństwa danych – zauważa Dawid Skrzypczyk, radca prawny Kancelarii Prawnych Omega
- Po przeprowadzeniu postępowania w sprawie, prezes UODO – jeżeli doszło do naruszenia przepisów - w drodze decyzji administracyjnej nakazuje przywrócenie stanu zgodnego z prawem. W przypadku, gdy skarga dotyczy przetwarzania danych osobowych innej osoby, konieczne jest pełnomocnictwo udzielone przez tę osobę do jej reprezentowania w postępowaniu przed prezesem urzędu – zauważa radca.
Prezes Urzędu może nałożyć na podmiot obowiązany do przestrzegania przepisów rozporządzenia, inny niż jednostka sektora finansów publicznych, instytut badawczy, Narodowy Bank Polski - w drodze decyzji, administracyjną karę pieniężną. Zgodnie z art. 83 ust. 1 i 2 RODO, każdy organ nadzorczy zapewnia, by stosowane na mocy niniejszego artykułu za naruszenia niniejszego rozporządzenia administracyjne kary pieniężne, o których mowa w ust. 4, 5 i 6, były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku.
Piotr Grzelczak przypomina także, że w sprawie mamy do czynienia z naruszeniem tajemnicy bankowej. Wchodzi, więc w grę potencjalnie działanie KNF, która zgodnie z prawem bankowym może - w przypadku naruszenia Prawa Bankowego - po uprzednim upomnieniu na piśmie zastosować dostępne jej środki administracyjne.
- KNF może nałożyć na bank karę pieniężną w maksymalnej wysokości do 10 proc. prognozowanego przychodu banku, czy też wystąpić do właściwego organu banku o odwołanie członka zarządu bezpośrednio odpowiedzialnego za stwierdzone nieprawidłowości - mówi radca.
Należy też pamiętać, że nieuprawnione ujawnienie tajemnicy bankowej stanowi przestępstwo i podlega karze grzywny do 1 miliona złotych oraz karze pozbawienie wolności do lat 3.
Z mojego dotychczasowego doświadczenia wynika, że ten przypadek nie jest odosobniony. Bardzo często spotykamy się z naruszeniami danych osobowych poprzez prowadzenie działań windykacyjnych kierowanych do niewłaściwych osób. Opisane działanie banku stanowi naruszenie jednej z zasad przetwarzania danych opisanej w art. 5 RODO - zasady „integralności i poufności”. Omyłkowe przekazanie danych do innego adresata, aniżeli właściwy stanowi odejście od przetwarzania w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.
W mojej ocenie mamy tu do czynienia z tzw. wyciekiem danych osobowych, czyli w rozumieniu RODO naruszeniem ochrony danych osobowych. W tej sytuacji, gdy jest prawdopodobne, że naruszenie może spowodować ryzyko naruszenia praw lub wolności osoby fizycznej Administrator Danych Osobowych, powinien nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia zawiadomić Prezesa Urzędu Ochrony Danych Osobowych oraz osobę której dane dotyczą, w tym wypadku dłużnika.
Jeżeli chodzi o kary, które grożą bankowi za naruszenie ochrony danych osobowych, to RODO przewiduje karę pieniężną w wysokości do 20 mln euro lub do 4% wartości jego obrotów, która trafia do budżetu państwa.
Zarówno klientka jak i klient, którego dane zostały udostępnione powinni przede wszystkim zawiadomić Prezesa Ochrony Danych Osobowych o zaistniałej sytuacji. Organ powinien podjąć postępowanie i w jego ramach zweryfikować czy doszło do naruszenia ochrony danych osobowych i w jakiej skali, a jeżeli tak nałożyć na bank karę pieniężna. Pragnę tu zauważyć jednak, że kara jest miarkowana, czyli nie zawsze będzie ona w maksymalnej wysokości 20 mln euro. Można tutaj wskazać przypadek francuskiej firmy, która w sierpniu br. otrzymała karę w wysokości 250 tyś. euro, za udostępnienie ponad 300 tysięcy dokumentów zawierających dane o klientach. W Polsce do tej pory nie mamy upublicznionych przypadków nałożenia kar przez organ.
Niezależnie od powyższego, w przypadku gdy naruszenie ochrony danych osobowych spowodowało u klientów szkodę majątkową lub niemajątkową mogą domagać się odszkodowania. Jednak w tym wypadku trzeba taką szkodę udowodnić. Ze szkodą majątkową mielibyśmy np. wtedy do czynienia, gdyby klientka nieświadomie zapłaciła kwotę, do której zapłaty była nieprawidłowo wzywana przez bank lub poniosła z tego tytuły koszty, jeżeli chodzi o szkodę niemajątkową to można tu wskazać np. nerwicę powstałą na skutek prowadzenia windykacji, z tym, że musiała by być potwierdzona przez lekarza.