Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych. Podobnie Toyota Bank Polska S.A. został ukarany za brak zgłoszenia naruszenia.

Publikacja: 02.04.2024 13:01

Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Foto: Bloomberg

O naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. prezes UODO dowiedział się z mediów. Naruszenie polegało  na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce. Wcześniej przesyłka skradziona firmie kurierskiej. W dokumentach były m.in.   imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.

Nie ma znaczenia ile osób widziało skradzione dane

Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę krótko po jej utracie przez kuriera. Osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów. Ustalono też, że w przesyłce nie brakowało żadnych dokumentów.

Prezes UODO uznał jedna, że oceniając ryzyko naruszenia, bank powinien oceniać przez pryzmat osób, których dane zostały ujawnione, a nie przez pryzmat własnych interesów.

„Brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.” - wyjaśnił Prezes UODO.

Uznał też, że bez znaczenia jest to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę. Poza tym administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki.  

Czytaj więcej

Santander Bank surowo ukarany za naruszenie RODO

To nie pierwsze naruszenie ochrony danych i niejedyny bank

Przy ustalaniu wymiaru kary organ nadzorczy wskazał, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone w Santander Bank Polska S.A. W 2021 r. była pracownica poinformowała, że  po zakończeniu pracy dla Santander Bank S.A. nie zostały jej odebrane uprawnienia dostępu do profilu pracodawcy na Platformie Usług Elektronicznych ZUS. Mogła je dowolnie przeglądać jeszcze przez 8 miesięcy. W styczniu 2022 r.  Santander Bank Polska S.A. dostał administracyjną karę pieniężną w wysokości 545 tys. zł (sygn. DKN.5131.33.2021) za naruszenie obowiązku  zawiadomienia o naruszeniu osób, których dane dotyczą.

Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

O naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. prezes UODO dowiedział się z mediów. Naruszenie polegało  na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce. Wcześniej przesyłka skradziona firmie kurierskiej. W dokumentach były m.in.   imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.

Pozostało 88% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Nieruchomości
Trybunał: nabyli działkę bez zgody ministra, umowa nieważna
Materiał Promocyjny
Wykup samochodu z leasingu – co warto wiedzieć?
Praca, Emerytury i renty
Czy każdy górnik może mieć górniczą emeryturę? Ważny wyrok SN
Prawo karne
Kłopoty żony Macieja Wąsika. "To represje"
Sądy i trybunały
Czy frankowicze doczekają się uchwały Sądu Najwyższego?
Materiał Promocyjny
Jak kupić oszczędnościowe obligacje skarbowe? Sposobów jest kilka
Sądy i trybunały
Łukasz Piebiak wraca do sądu. Afera hejterska nadal nierozliczona