Na każdym z administratorów ciąży obowiązek dostosowania adekwatnych środków technicznych i organizacyjnych, celem zapewniane integralności, poufności i dostępności przetwarzania danych osobowych. Wszelkie czynności przetwarzania realizowane przez administratora muszą być zatem odzwierciedleniem podejścia opartego na ryzyku.
Podejmując działania związane z przetwarzaniem danych osobowych administrator musi upewnić się, że zabezpieczył odpowiednio każdą operację przetwarzania. Niekiedy jednak, pomimo wdrożenia niezbędnych działań przez administratora, a także zawarcia określonych umów mających na celu zabezpieczenie danych osobowych, bez winy administratora powstaje naruszenie bezpieczeństwa ochrony danych. Tego typu sytuacja ma miejsce chociażby w przypadku nadawania przesyłek. Administrator może wewnętrznie ułożyć cały proces obsługi korespondencji w sposób, który mityguje ryzyko powstawania naruszeń, tj. usprawni go na tyle, że przesyłki adresowane będą do odpowiednich adresatów, wewnątrz kopert będą znajdować się treści zaadresowane do odpowiednich odbiorców, a przesyłki nie zaginą w jego siedzibie i będą odpowiednio rejestrowane. Jednakże nie ma on wpływu na element dostarczenia przesyłek do odbiorców, które muszą zostać doręczone za pośrednictwem operatora pocztowego, tym bardziej jeżeli mowa o operatorze wyznaczonym do świadczenia usługi powszechnej w latach 2016-2025, tj. Poczty Polskiej.
Zgodnie z art. 41 ustawy z dnia 23 listopada 2012 r. prawo pocztowe – operator pocztowy zobowiązany jest do zachowania tajemnicy pocztowej, która obejmuje:
- informacje przekazywane w przesyłkach pocztowych,
- informacje dotyczące realizowania przekazów pocztowych,
- dane dotyczące podmiotów korzystających z usług pocztowych oraz
- dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług.
Ustawa wskazuje również, że naruszeniem obowiązku zachowania tajemnicy pocztowej jest w szczególności ujawnianie lub przetwarzanie informacji albo danych objętych tajemnicą pocztową, otwieranie zamkniętych przesyłek pocztowych lub zapoznawanie się z ich treścią, umożliwianie osobom nieuprawnionym podejmowania wskazanych działań mających wpływ na naruszenie tajemnicy pocztowej.
Należy pamiętać jednak, że jest to katalog otwarty, zatem zagubienie przesyłki, o której brak jest informacji czy została otwarta, również będzie stanowił naruszenie tajemnicy.
Operator pocztowy jest ponadto obowiązany do zachowania należytej staranności w zakresie uzasadnionym względami technicznymi lub ekonomicznymi przy zabezpieczaniu urządzeń i obiektów wykorzystywanych przy świadczeniu usług pocztowych oraz zbiorów danych przed ujawnieniem tajemnicy pocztowej.
W wyroku Naczelnego Sądu Administracyjnego z dnia 28 czerwca 2022 r., II GSK 265/19 Sąd ten wskazał, że naruszenie zasady tajemnicy korespondencji rozumianej jako możliwość zapoznania się z treścią przesyłki zawsze należy kwalifikować jako naruszenie przepisów o obowiązku zachowania tajemnicy korespondencji, niezależnie od tego, czy do takiego zapoznania się z treścią przesyłki faktycznie doszło. Zawsze bowiem w takim przypadku prowadzi ono do zagrożenia bezpieczeństwa obrotu pocztowego oraz istotnych interesów podmiotów korzystających z usług pocztowych.
Pomimo tak skonstruowanej regulacji administratorem danych nadawcy i odbiorcy będzie operator pocztowy, jednakże danych osobowych zawartych wewnątrz przesyłki będzie nadawca, który zobowiązany był do ich odpowiedniego zabezpieczenia. Znajduje to również potwierdzenie w orzecznictwie Wojewódzkiego Sądu Administracyjnego w Warszawie, który w lipcu 2022 r. na skutek skargi złożonej przez administratora danych, wydał wyrok, w którym orzekł, że administratorem danych zawartych na dokumentach wewnątrz korespondencji jest nadawca przesyłki, bowiem tylko on posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Dlatego też w przypadku zagubienia lub otwarcia przesyłki przez osobę nieuprawnioną, nadawca musi wypełnić obowiązki związane z naruszeniem. Polski organ nadzorczy (PUODO) w tej sprawie nałożył administracyjną karę pieniężną w wysokości 363 tys. zł i nakazał powiadomienie o naruszeniu osób, których dane dotyczą, przez administratora danych.
Obecny Prezes Urzędu Ochrony Danych Osobowych, zwrócił uwagę na skalę naruszeń ochrony danych osobowych związanych z gubieniem przesyłek nadanych przez administratorów danych. Wskazał, że niejednokrotnie w przesyłkach znajdują się dane szczególnej kategorii, a co za tym idzie takie zdarzenie stanowi automatycznie naruszenie danych osobowych, które powoduje wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą. W konsekwencji Prezes UODO w piśmie z 2.04.2024 r. zwrócił się do Prezesa Poczty Polskiej z prośbą o podjęcie pilnych działań, które mają na celu wyeliminowanie tego typu zdarzeń.
Problematyka utraty przesyłek poruszana była już przez organ nadzorczy w latach 2019-2020. Wówczas operator pocztowy zobowiązał się do przeprowadzenia szkoleń pracowników i budowania świadomości ochrony danych osobowych. Istotnym zagadnieniem poruszanym przez Prezesa UODO jest również okoliczność czy Poczta Polska monitoruje uprzednio zastosowane środki mające na celu wzmocnienie bezpieczeństwa przesyłek oraz czy podjęte zostaną kroki w celu wdrożenia nowych mechanizmów zapewniających ochronę danych osobowych.
Niniejszy artykuł ma charakter informacyjny i nie jest to porada prawna.
Stan prawny na dzień 30 kwietnia 2024 r.
autor:
