Prezes UODO nałożył na mBank karę ponad 4 mln zł za niezawiadomienie osób poszkodowanych wyciekiem danych - poinformowało UODO w komunikacie.
"Kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku" - napisano w komunikacie.
Podano, że bank nie dopełnił obowiązków wynikających z RODO po tym, jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.
"Pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały" - napisano.
Wskazano, że w dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości).
Óświadczenie mBanku
"Nie zgadzamy się z decyzją Prezesa UODO i odwołamy się do Wojewódzkiego Sądu Administracyjnego w Warszawie. W lipcu 2022 r. samodzielnie zgłosiliśmy do UODO fakt, że nasz podwykonawca zamiast do mBanku, omyłkowo skierował do innego banku dokumenty trójki klientów. Podwykonawca współpracował również z tym bankiem. Po stwierdzonej pomyłce wszystkie dokumenty bezzwłocznie wróciły do nas" - poinformował mBank w swoim stanowisku dotyczącym nałożonej kary.
Wskazano, że dane wspomnianej trójki klientów pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO.
"Na naszą ocenę sytuacji wpłynęło to, że dokumenty trafiły do podmiotu zaufanego, a więc nie wystąpi istotne ryzyko naruszenia praw i wolności naszych klientów" - napisano.
"Naszą argumentację dot. oceny tego zdarzenia przekazaliśmy Prezesowi UODO jeszcze w 2022 r. Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna" - dodał bank.
Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań. W wyjaśnieniach tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który - zdaniem banku - ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku, sprawy nie trzeba było ujawniać.
Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego.
Argumentując tę decyzję, podkreślił, między innymi, że "wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. +odbiorcę zaufanego+".
Prezes UODO uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. (PAP Biznes)
alk/ asa/
