Prezes UODO nałożył na mBank karę ponad 4 mln zł za niezawiadomienie osób poszkodowanych wyciekiem danych

Prezes UODO nałożył na mBank karę ponad 4 mln zł za niezawiadomienie osób poszkodowanych wyciekiem danych - poinformowało UODO w komunikacie.

"Kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku" - napisano w komunikacie.

Podano, że bank nie dopełnił obowiązków wynikających z RODO po tym, jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.

"Pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały" - napisano.

Wskazano, że w dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości).

Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań. W wyjaśnieniach tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który - zdaniem banku - ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku, sprawy nie trzeba było ujawniać.

Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego.

Argumentując tę decyzję, podkreślił, między innymi, że "wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. +odbiorcę zaufanego+".

Prezes UODO uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. (PAP Biznes)

alk/ asa/