Kara dla banku, gdy ginie umowa w drodze do klienta

„Rzeczpospolita" dotarła do informacji o najnowszej karze nałożonej na Bank Millennium przez Urząd Ochrony Danych Osobowych. Niemała kara, bo aż 363 tys. zł, powinna dać do myślenia wszystkim polskim przedsiębiorcom, którzy korzystają z usług kurierskich przy zawieraniu umów z klientami.

Czytaj więcej

Samorząd i administracja

Zarobki miliona Polaków trafią do sieci. PiS tylnymi drzwiami wprowadza rejestr

Urzędy publiczne, samorządy, szkoły i szpitale będą musiały ujawnić szczegóły zawieranych umów.

W tym przypadku UODO dowiedział się ze skargi klientów o narażeniu danych osobowych. Bank, owszem, poinformował ich o zagubieniu danych. Gdy chcieli uzyskać więcej informacji o możliwych zagrożeniach z tym związanych i działaniach, jakie mogą podjąć, urząd ustalił, że nie uzyskali od banku wymaganych przez RODO informacji. Chodzi tu m.in. o zagrożenia, jakie mogą wynikać z nieuprawnionego wykorzystania tych danych.

PESEL pod szczególną ochroną

UODO ustalił, że w zagubionych umowach znajdowały się takie dane, jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom.

Bank uznał ryzyko ich nadużycia za średnie. Nie poinformował jednak o tym UODO.

– Należy w tym przypadku wziąć pod uwagę, że bank nie tylko nie zgłosił naruszenia ochrony danych osobowych do UODO, ale także w prawidłowy sposób nie zawiadomił o incydencie osób, których dane dotyczą. Stało się tak, gdyż bank niewłaściwie ocenił ryzyko wystąpienia negatywnych konsekwencji dla osób dotkniętych naruszeniem, uznając je za średnie – mówi Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych. – Do UODO należy zgłaszać incydenty, w których istnieje prawdopodobieństwo wyższe niż małe szkodliwego wpływu na prawa lub wolności osób, których dane dotyczą.

W opinii UODO już samo zgubienie dokumentacji zawierającej dane osobowe klientów banku, m.in. imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, i jej nieodnalezienie powoduje ryzyko wykorzystania zawartych w niej danych.

Biuro prasowe banku przysłało nam swoje stanowisko w tej sprawie.

„Otrzymaliśmy informację o decyzji Prezesa UODO z dnia 14.10.2021 r. w kwestii ochrony danych osobowych w Banku Millennium. Sprawa jest incydentalna i nie dotyczy bezpieczeństwa przetwarzania danych, a uchybienia formalnego obowiązku. Bank poważnie traktuje wszelkie wytyczne i stanowiska organu, niemniej zostanie w tej sprawie złożona skarga do Wojewódzkiego Sądu Administracyjnego, ponieważ postępowanie w ocenie banku było w pełni zgodne z obowiązującym prawem oraz wewnętrznymi procedurami. Bank stosuje wysokie standardy ochrony danych osobowych. Dane klientów są bezpieczne.”

Wystarczy ryzyko naruszenia

– Z punktu widzenia przepisów o ochronie danych osobowych nie jest istotne, czy nieuprawniony odbiorca wszedł w posiadanie danych i się z nimi zapoznał lub je wykorzystał, ale sam fakt wystąpienia takiego ryzyka – dodaje Sanocki. – W konsekwencji może to powodować naruszenie praw lub wolności osób ze względu na zakres danych, np. kradzież tożsamości.

Dlatego zarówno zgłoszenie naruszenia do organu nadzorczego, jak i obowiązek zawiadomienia osoby o naruszeniu nie mogą być uzależnione wyłącznie od wystąpienia negatywnych konsekwencji związanych z incydentem.