Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych. Podobnie Toyota Bank Polska S.A. został ukarany za brak zgłoszenia naruszenia.

Publikacja: 02.04.2024 13:01

Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Foto: Bloomberg

dgk

O naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. prezes UODO dowiedział się z mediów. Naruszenie polegało  na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce. Wcześniej przesyłka skradziona firmie kurierskiej. W dokumentach były m.in.   imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.

Nie ma znaczenia ile osób widziało skradzione dane

Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę krótko po jej utracie przez kuriera. Osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów. Ustalono też, że w przesyłce nie brakowało żadnych dokumentów.

Prezes UODO uznał jedna, że oceniając ryzyko naruszenia, bank powinien oceniać przez pryzmat osób, których dane zostały ujawnione, a nie przez pryzmat własnych interesów.

„Brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.” - wyjaśnił Prezes UODO.

Uznał też, że bez znaczenia jest to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę. Poza tym administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki.  

Czytaj więcej

Santander Bank surowo ukarany za naruszenie RODO

To nie pierwsze naruszenie ochrony danych i niejedyny bank

Przy ustalaniu wymiaru kary organ nadzorczy wskazał, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone w Santander Bank Polska S.A. W 2021 r. była pracownica poinformowała, że  po zakończeniu pracy dla Santander Bank S.A. nie zostały jej odebrane uprawnienia dostępu do profilu pracodawcy na Platformie Usług Elektronicznych ZUS. Mogła je dowolnie przeglądać jeszcze przez 8 miesięcy. W styczniu 2022 r.  Santander Bank Polska S.A. dostał administracyjną karę pieniężną w wysokości 545 tys. zł (sygn. DKN.5131.33.2021) za naruszenie obowiązku  zawiadomienia o naruszeniu osób, których dane dotyczą.

Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

Konsumenci
Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie
https://track.adform.net/adfserve/?bn=77855207;1x1inv=1;srctype=3;gdpr=${gdpr};gdpr_consent=${gdpr_consent_50};ord=[timestamp]
Prawo dla Ciebie
PiS wygrywa w Sądzie Najwyższym. Uchwała PKW o rozliczeniu kampanii uchylona
W sądzie i w urzędzie
Już za trzy tygodnie list polecony z urzędu przyjdzie on-line
Dane osobowe
Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej
Materiał Promocyjny
Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite
Prawnicy
Ewa Wrzosek musi odejść. Uderzyła publicznie w ministra Bodnara