mBank zapłaci karę za naruszenie RODO. Wydaje się ogromna, ale mogła być jeszcze wyższa

Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu na mBank ponad 4 mln zł kary za niezawiadomienie osób poszkodowanych wyciekiem danych. Jak zaznaczono, kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku.

Publikacja: 09.09.2024 11:30

mBank

mBank

Foto: Adobe Stock

mat

Urząd Ochrony Danych Osobowych uznał, iż bank nie dopełnił obowiązków wynikających z RODO po tym jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.

Jak wyjaśniono w poniedziałkowym komunikacie UODO, pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. - Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały - czytamy. 

W dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości).

Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań. Tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku sprawy nie trzeba było ujawniać.

UODO: ogromne ryzyko dla klientów

Prezes UODO nie podzielił tego stanowiska. Stwierdził między innymi, że (…) wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”. Powołane wytyczne kładą nacisk na długotrwałość relacji między administratorem (nadawcą omyłkowo przesłanej korespondencji) a odbiorcą (tej korespondencji) i – wynikającą z tej długotrwałej relacji – znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi (str. 25 – 26 Wytycznych 9/2022) (…).

Prezes UODO uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. - Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. W wyjaśnieniach bazował na zapewnieniach, ze strony osób mających dostęp do ujawnionych danych, o tym, że nic złego się nie stało. To za mało. Bo przy analizowaniu takiej sytuacji należy zawsze wziąć pod uwagę także prawa osób, których naruszenie dotyczyło. Podkreślenia wymaga fakt, że przestrzeganie innych tajemnic prawnie chronionych nie zwalnia ze stosowania RODO – podkreślono w komunikacie.

Kara mogłaby wynieść 337 milionów złotych

W ocenie Prezesa UODO takie działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza. - Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną - dodano.

Przypomnijmy, iż od decyzji Prezesa UODO nie można się odwołać. Ukaranemu podmiotowi pozostaje jedynie ścieżka sądowa w postaci skargi do sądu administracyjnego. Sądem pierwszej instancji jest Wojewódzki Sąd Administracyjny w Warszawie, a sądem drugiej instancji – Naczelny Sąd Administracyjny.

Czytaj więcej

Klient opisał koszmarną pomyłkę mBanku. Rzecznik żąda wyjaśnień

Stanowisko mBank

Nie zgadzamy się z decyzją Prezesa UODO i odwołamy się do Wojewódzkiego Sądu Administracyjnego w Warszawie.

W lipcu 2022 r. samodzielnie zgłosiliśmy do UODO fakt, że nasz podwykonawca zamiast do mBanku, omyłkowo skierował do innego banku dokumenty trójki klientów. Podwykonawca współpracował również z tym bankiem. Po stwierdzonej pomyłce wszystkie dokumenty bezzwłocznie wróciły do nas.

Dane wspomnianej trójki klientów pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO.

Na naszą ocenę sytuacji wpłynęło to, że dokumenty trafiły do podmiotu zaufanego, a więc nie wystąpi istotne ryzyko naruszenia praw i wolności naszych klientów.

Naszą argumentację dot. oceny tego zdarzenia przekazaliśmy Prezesowi UODO jeszcze w 2022 r. Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna.

Kinga Wojciechowska-Rulka

Rzeczniczka prasowa mBank

Urząd Ochrony Danych Osobowych uznał, iż bank nie dopełnił obowiązków wynikających z RODO po tym jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.

Jak wyjaśniono w poniedziałkowym komunikacie UODO, pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. - Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały - czytamy. 

Pozostało 85% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Czym jeździć
Technologia, której nie zobaczysz. Ale możesz ją poczuć
Tu i Teraz
Skoda Kodiaq - nowy wymiar przestrzeni
Edukacja i wychowanie
Jedna lekcja religii w szkołach, dwie w przedszkolach i grupy międzyszkolne. Jest projekt zmian
Prawo dla Ciebie
Nowy obowiązek dla właścicieli psów i kotów. Znamy szacowany koszt
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw