Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych. Podobnie Toyota Bank Polska S.A. został ukarany za brak zgłoszenia naruszenia.

Publikacja: 02.04.2024 13:01

Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Foto: Bloomberg

dgk

O naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. prezes UODO dowiedział się z mediów. Naruszenie polegało na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce. Wcześniej przesyłka skradziona firmie kurierskiej. W dokumentach były m.in. imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.

Nie ma znaczenia ile osób widziało skradzione dane

Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę krótko po jej utracie przez kuriera. Osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów. Ustalono też, że w przesyłce nie brakowało żadnych dokumentów.

Prezes UODO uznał jedna, że oceniając ryzyko naruszenia, bank powinien oceniać przez pryzmat osób, których dane zostały ujawnione, a nie przez pryzmat własnych interesów.

„Brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.” - wyjaśnił Prezes UODO.

Uznał też, że bez znaczenia jest to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę. Poza tym administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki.

Czytaj więcej

Dane osobowe

Santander Bank surowo ukarany za naruszenie RODO

545 tys. zł kary administracyjnej ma zapłacić Santander Bank Polska S. A. za niezawiadomienie bez zbędnej zwłoki obecnych i byłych pracowników Banku, że mogło dojść do naruszenia poufności ich danych osobowych.

To nie pierwsze naruszenie ochrony danych i niejedyny bank

Przy ustalaniu wymiaru kary organ nadzorczy wskazał, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone w Santander Bank Polska S.A. W 2021 r. była pracownica poinformowała, że po zakończeniu pracy dla Santander Bank S.A. nie zostały jej odebrane uprawnienia dostępu do profilu pracodawcy na Platformie Usług Elektronicznych ZUS. Mogła je dowolnie przeglądać jeszcze przez 8 miesięcy. W styczniu 2022 r. Santander Bank Polska S.A. dostał administracyjną karę pieniężną w wysokości 545 tys. zł (sygn. DKN.5131.33.2021) za naruszenie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

Bankowość Banki Dane Osobowe Urząd Ochrony Danych Osobowych (UODO)

Konsumenci

Pozew grupowy oszukanych na pompy ciepła. Sąd wydał zabezpieczenie

Sąd Okręgowy w Gdańsku udzielił zabezpieczenia roszczeń w postępowaniu grupowym o ustalenie nieważności umów o kredyt konsumencki na zakup pomp ciepła. Bank wypłacił pieniądze sprzedawcom pomp ciepła, choć urządzenia te nie trafiły do ich klientów.

Materiał Promocyjny

Nowe pełne energii BMW serii 1. Stworzone z myślą o Tobie. Zapytaj o ofertę

Prawo dla Ciebie

PiS wygrywa w Sądzie Najwyższym. Uchwała PKW o rozliczeniu kampanii uchylona

Sąd Najwyższy uchylił w środę sierpniową uchwałę Państwowej Komisji Wyborczej, która odrzuciła sprawozdanie komitetu wyborczego PiS z ostatnich wyborów parlamentarnych.

W sądzie i w urzędzie

Już za trzy tygodnie list polecony z urzędu przyjdzie on-line

System e-Doręczeń, czyli cyfrowy odpowiednik listu poleconego za potwierdzeniem odbioru, zacznie powszechnie obowiązywać już 1 stycznia 2025 roku.

Dane osobowe

Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej

Ujawniamy zbyt wiele informacji o sobie w internecie – twierdzą bankowcy i prawnicy. Dodatkowe ryzyka wywoła rozwój nowoczesnych technologii, w tym sztucznej inteligencji.

Materiał Promocyjny

Bank Pekao wchodzi w świat gamingu ze swoją planszą w Fortnite

Bank wspiera rozwój pasji, dlatego miał już w swojej ofercie konto gamingowe, atrakcyjne wizerunki kart płatniczych oraz skórek w aplikacji nawiązujących do gier. Teraz, chcąc dotrzeć do młodych, stworzył w ramach trybu kreatywnego swoją mapę symulacyjną w Fortnite, łącząc innowacyjną rozgrywkę z edukacją finansową i udostępniając graczom możliwość stworzenia w wirtualnym świecie własnego banku.

Prawnicy

Ewa Wrzosek musi odejść. Uderzyła publicznie w ministra Bodnara

Decyzją Ministra Sprawiedliwości Prokuratora Generalnego Adama Bodnara zostałam dziś odwołana z delegacji do Ministerstwa Sprawiedliwości oraz Krajowej Rady Prokuratorów przy Prokuratorze Generalnym - poinformowała w środę na X prok. Ewa Wrzosek. We wtorek w TVP Info stwierdziła, że Roman Giertych byłby lepszym ministrem sprawiedliwości niż Adam Bodnar.

Materiał Promocyjny

Jaecoo J7 w leasingu od 1670 zł/mies.

Konsumenci

TSUE wydał ważny wyrok dla frankowiczów. To pokłosie sprawy Getin Banku

TSUE orzekł, że rozpoznanie skarg frankowiczów ma nastąpić w rozsądnym terminie i uwzględniać indywidualne zarzuty.

Polityka

Nie będzie kredytu 0 proc. Chaos w polityce mieszkaniowej się pogłębia

Minister rozwoju Krzysztof Paszyk ogłosił w czwartek rano, że rząd nie wprowadzi kredytu 0 proc. Czy to koniec wielkich obietnic koalicji? Jak rząd Donalda Tuska radzi sobie w polityce mieszkaniowej? Czy to był stracony rok? W przededniu rocznicy powołania rządu w podcaście „Rzecz w tym” osiągnięcia gabinetu Donalda Tuska podsumowuje Adam Roguski.

Były poseł Janusz Palikot doprowadzany przez funkcjonariuszy CBA do Dolnośląskiego Wydziału Zamiejsc

Przemysł spożywczy

Upadła Manufaktura Piwa Wódki i Wina. Palikot w areszcie. Czy to początek końca?

Sąd w Krakowie ogłosił upadłość spółki Manufaktura Piwa Wódki i Wina. To od niej zaczął się szybki wzrost i upadek Janusza Palikota.

Raporty ekonomiczne

Rewolucja AI w polskich bankach już trwa. Czy ludzie stracą pracę?

Ponad 70 proc. pracy w branży finansowej może być w pełni wykonywanej przez sztuczną inteligencję lub przy jej wsparciu. Jednak nie musi to oznaczać zwolnień – to wynika z raportu firmy Accenture.

Gospodarka

Amerykański kredyt 20 mld dol. dla Ukrainy spłaci Putin

Stany Zjednoczone udzieliły Ukrainie kredytu w wysokości 20 mld dolarów. Zastawem są wpływy z rosyjskich, zamrożonych na Zachodzie aktywów. To z nich pożyczka wraz z odsetkami zostanie spłacona.

Dane osobowe

Sztuczna inteligencja pomoże oszustom? Będzie więcej wyłudzeń

Przez pierwsze trzy kwartały udaremniono 9,7 tys. wyłudzeń, czyli tyle, ile przez cały rok 2023. A najgorsze przed nami z uwagi na rozwój sztucznej inteligencji – ostrzegają śledczy i eksperci.

Dane osobowe

Rekord wyłudzeń kredytów. Eksperci ostrzegają: będzie jeszcze więcej

Ujawniamy zbyt wiele informacji o sobie w internecie – twierdzą bankowcy i prawnicy. Dodatkowe ryzyka wywoła rozwój nowoczesnych technologii, w tym sztucznej inteligencji.

Rzecz o prawie

Marek Domagalski: Ugody frankowe ratunkiem dla obciążonych sądów

Ugody frankowe jawią się jako szalupa ratunkowa w czasie fali spraw, przytłaczają nie tylko sądy cywilne, ale chyba też wielu uczestników tych sporów.