„Rzeczpospolita" dotarła do informacji o najnowszej karze nałożonej na Bank Millennium przez Urząd Ochrony Danych Osobowych. Niemała kara, bo aż 363 tys. zł, powinna dać do myślenia wszystkim polskim przedsiębiorcom, którzy korzystają z usług kurierskich przy zawieraniu umów z klientami.
Czytaj więcej
Urzędy publiczne, samorządy, szkoły i szpitale będą musiały ujawnić szczegóły zawieranych umów.
W tym przypadku UODO dowiedział się ze skargi klientów o narażeniu danych osobowych. Bank, owszem, poinformował ich o zagubieniu danych. Gdy chcieli uzyskać więcej informacji o możliwych zagrożeniach z tym związanych i działaniach, jakie mogą podjąć, urząd ustalił, że nie uzyskali od banku wymaganych przez RODO informacji. Chodzi tu m.in. o zagrożenia, jakie mogą wynikać z nieuprawnionego wykorzystania tych danych.
PESEL pod szczególną ochroną
UODO ustalił, że w zagubionych umowach znajdowały się takie dane, jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom.
Bank uznał ryzyko ich nadużycia za średnie. Nie poinformował jednak o tym UODO.
– Należy w tym przypadku wziąć pod uwagę, że bank nie tylko nie zgłosił naruszenia ochrony danych osobowych do UODO, ale także w prawidłowy sposób nie zawiadomił o incydencie osób, których dane dotyczą. Stało się tak, gdyż bank niewłaściwie ocenił ryzyko wystąpienia negatywnych konsekwencji dla osób dotkniętych naruszeniem, uznając je za średnie – mówi Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych. – Do UODO należy zgłaszać incydenty, w których istnieje prawdopodobieństwo wyższe niż małe szkodliwego wpływu na prawa lub wolności osób, których dane dotyczą.
W opinii UODO już samo zgubienie dokumentacji zawierającej dane osobowe klientów banku, m.in. imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, i jej nieodnalezienie powoduje ryzyko wykorzystania zawartych w niej danych.
Biuro prasowe banku przysłało nam swoje stanowisko w tej sprawie.
Prawne uwarunkowania prowadzenia e‑sklepu w 2022 roku
„Otrzymaliśmy informację o decyzji Prezesa UODO z dnia 14.10.2021 r. w kwestii ochrony danych osobowych w Banku Millennium. Sprawa jest incydentalna i nie dotyczy bezpieczeństwa przetwarzania danych, a uchybienia formalnego obowiązku. Bank poważnie traktuje wszelkie wytyczne i stanowiska organu, niemniej zostanie w tej sprawie złożona skarga do Wojewódzkiego Sądu Administracyjnego, ponieważ postępowanie w ocenie banku było w pełni zgodne z obowiązującym prawem oraz wewnętrznymi procedurami. Bank stosuje wysokie standardy ochrony danych osobowych. Dane klientów są bezpieczne.”
Wystarczy ryzyko naruszenia
– Z punktu widzenia przepisów o ochronie danych osobowych nie jest istotne, czy nieuprawniony odbiorca wszedł w posiadanie danych i się z nimi zapoznał lub je wykorzystał, ale sam fakt wystąpienia takiego ryzyka – dodaje Sanocki. – W konsekwencji może to powodować naruszenie praw lub wolności osób ze względu na zakres danych, np. kradzież tożsamości.
Dlatego zarówno zgłoszenie naruszenia do organu nadzorczego, jak i obowiązek zawiadomienia osoby o naruszeniu nie mogą być uzależnione wyłącznie od wystąpienia negatywnych konsekwencji związanych z incydentem.
Zgodnie z wytycznymi UODO administrator powinien w takiej sytuacji wysłać zgłoszenie do urzędu i zawiadomienie do osoby, której dane utracono, najlepiej w ciągu 72 godzin. W zawiadomieniu powinien opisać szczegóły naruszenia i możliwe jego konsekwencje, np. ryzyko uzyskania kredytu bankowego na szkodę klienta z wykorzystaniem utraconych danych.
Opinia dla „rzeczpospolitej"
Jan Prasałek, adwokat w kancelarii RK Legal
Jest to kolejna kara z nałożonych na przedsiębiorców za brak prawidłowej reakcji na naruszenie ochrony danych osobowych. Tym razem administrator niewłaściwie ocenił ryzyko naruszenia praw i wolności osób, których dane znajdowały się w zagubionej przesyłce. Skutkiem tego był brak zawiadomienia organu nadzorczego o naruszeniu. Kara jest wysoka, w szczególności jak na pojedynczy incydent po stronie podwykonawcy. Ma ona pełnić funkcje zarówno represyjną, jak i prewencyjną, zwracając uwagę innych administratorów na ich obowiązki w podobnych sytuacjach. Przedsiębiorcy powinni pamiętać, że zgodnie z wytycznymi organów unijnych w razie wątpliwości, czy ryzyko naruszenia praw lub wolności uzasadnia zawiadomienie organu nadzorczego, należy takiego zawiadomienia „na wszelki wypadek" dokonać. Organ nadzorczy po raz kolejny wskazał na szczególną rolę numeru PESEL. Numer ten stanowi unikatowy identyfikator każdego z nas i powinien być szczególnie chroniony przez podmioty, które takie dane gromadzą. W świetle kilku ostatnich kar nałożonych przez prezesa UODO, każde ujawnienie numeru PESEL powinno być traktowane jako grożące wysokim ryzykiem naruszenia praw i wolności, chyba że istnieją wyraźne i jednoznaczne przesłanki zmniejszające takie ryzyko.
