mBank ukarany ponad 4,5 milionową karą w związku z wyciekiem danych

Prezes Urzędu Ochrony Danych Osobowych nałożył na mBank karę w wysokości 4,53 mln zł za niezawiadomienie osób poszkodowanych wyciekiem danych – informuje Urząd Ochrony Danych Osobowych. 30 czerwca bank stracił dane grupy klientów, jednak karę otrzymał za to, że nie poinformował klientów, których dane skradziono o tym, że ich dane znalazły się w niepowołanych rękach. To jedna z najwyższych kar nałożonych przez urząd.

Bank nie dopełnił obowiązków wynikających z RODO po tym, jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy.
„W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu” – informuje UODO w komunikacie.
Pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały. W dokumentach były nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, oraz informacje dotyczące kredytu i nieruchomości.

„Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań. W wyjaśnieniach tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku, sprawy nie trzeba było ujawniać” – informuje komunikat.

Prezes UODO uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia.

Kara mogła byc większa – informuje UOKiK

„Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. W wyjaśnieniach bazował na zapewnieniach ze strony osób mających dostęp do ujawnionych danych, o tym, że nic złego się nie stało. To za mało. Bo przy analizowaniu takiej sytuacji należy zawsze wziąć pod uwagę także prawa osób, których naruszenie dotyczyło. Podkreślenia wymaga fakt, że przestrzeganie innych tajemnic prawnie chronionych nie zwalnia ze stosowania RODO” – podkreśla urząd.

W ocenie szefa Urzędu przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza.

„Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną. Na podstawie analiz spraw, które docierają do organu nadzorczego, można założyć, że przyjęta praktyka nieinformowania osób, których dane zostały naruszone, uzasadniana jak w przypadku omawianego naruszenia ochrony danych osobowych, jest przejawem systemowej postawy (polityki) banku, co zasługuje na wyjątkowo negatywną ocenę Prezesa UODO” – wyjaśnia nadzorca rynku.