Prezes UODO Mirosław Wróblewski nałożył 1,44 mln zł kary na Santander Bank Polska za brak zgłoszenia naruszenia ochrony danych. Również Toyota Bank Polska dostał 78 tys. zł kary za brak zgłoszenia naruszenia ochrony danych osobowych – podał urząd we wtorek.
„Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych” – poinformował Urząd Ochrony Danych Osobowych (UODO) na swoich stronach internetowych.
Jak wyjaśniono w komunikacie, prezes UODO o naruszeniu ochrony danych osobowych w Santander Bank Polska dowiedział się z mediów. Polegało ono na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym jak została ona wcześniej skradziona firmie kurierskiej.
„W przesyłce były m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych. Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów” – czytany w komunikacie.
Jak podano, prezes UODO w swojej decyzji wskazał, iż w przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Zaznaczył przy tym, że brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje.
Brak zgłoszenia naruszenia ochrony danych osobowych prezesowi UODO - jak wskazano - pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Urząd nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia. „Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora. Prezes UODO, decyzją z dnia 19 stycznia 2022 r. (…) z uwagi na naruszenie obowiązku (…) zawiadomienia o naruszeniu osób, których dane dotyczą, nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości 545 tys. zł” – czytamy w komunikacie UODO.
Dodano, że oprócz kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.
„Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem” – wskazano w komunikacie.
Wyjaśniono, że naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji urząd zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.
Santander Bank Polska zaskarży decyzję UODO nakładającą 1,44 mln zł kary na bank
„Bank nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego. Kara dotyczy zdarzenia z 2018 roku. Bank po zdarzeniu podjął działania zgodne z przepisami RODO, a w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości” – poinformował PAP Inspektor Ochrony Danych w Santander Bank Polska Jarosław Dobosz.
„Bank nie zgłosił naruszenia do UODO i nie powiadomił klientów, gdyż ocenił, że w okolicznościach faktycznych tego zdarzenia oraz wobec podjętych przez Bank działań było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności klientów (przesłanka do niezgłaszania naruszenia do PUODO)” – poinformował PAP Jarosław Dobosz. „Zdaniem Banku, zostały dopełnione wszystkie procedury związane z naruszeniem ochrony danych i tego stanowiska będzie bronił przed sądem” – dodał. (PAP)
Toyota Bank Polska: incydent, za który UODO nałożył karę, był jednostkowym przypadkiem
„Jesteśmy świadomi decyzji podjętej przez Urząd Ochrony Danych Osobowych i traktujemy ją bardzo poważnie. Chcemy jednak wyraźnie podkreślić, że incydent, który doprowadził do nałożenia kary był jednostkowym przypadkiem” – poinformował PAP kierownik Wydziału Marketingu Toyota Bank Polska Piotr Marszewski.
„Kara nałożona przez UODO wynika z naszego zbyt późnego powiadomienia Urzędu o potencjalnym naruszeniu ochrony danych osobowych, a nie z samego wycieku danych. Bank nie zgłosił w terminie naruszenia do UODO, jednakże niezwłocznie po wystąpieniu naruszenia powiadomił osobę, której dane dotyczyły, dzięki czemu ta miała możliwość przeciwdziałać skutkom naruszenia. Podjęliśmy niezwłocznie działania, by zapobiec podobnym incydentom w przyszłości” – wyjaśnił kierownik Wydziału Marketingu TBP.
Podkreślił, że w Toyota Bank „zawsze stosuje najwyższe standardy ochrony danych osobowych”.
„Bezpieczeństwo i prywatność naszych klientów są dla nas priorytetem, dlatego kontynuujemy wzmacnianie naszych procedur związanych z ochroną danych oraz intensyfikujemy szkolenia dla pracowników w celu zapewnienia pełnego przestrzegania obowiązujących przepisów i norm bezpieczeństwa" – stwierdził Marszewski. (PAP)
autor: Marek Siudaj
ms/ pad/ mmu/
