Getin Bank przesłał paczkę z listami zawierającymi dane około 40 osób do jednego ze swoich klientów. Ten o sprawie poinformował czytelników serwisu wykop.pl. Bank tłumaczy, że był to błąd ludzki.
– Dostałem paczkę z masą listów poleconych, danymi ludzi, numerami umów kredytowych, adresami itd. Co robić? – zapytał w serwisie wykop.pl jeden z użytkowników. Jak się okazuje, była to paczka z Getin Banku, w której znajdowały się dane około 40 klientów tej instytucji.
Przeczytaj także
Skontaktowaliśmy się z bankiem, który przesłał do redakcji Bankier.pl swoje stanowisko w tej sprawie.
"W wyniku błędu ludzkiego przesyłka wewnętrzna zawierająca dane blisko 40 klientów posiadających w naszym banku kredyty hipoteczne trafiła do niewłaściwego odbiorcy. Bank podjął już niezbędne działania mające na celu jak najszybsze zabezpieczenie przesyłki oraz zawartych w niej danych. Obecnie trwają również wewnętrzne działania wyjaśniające, których celem jest wyeliminowanie tego typu incydentów w przyszłości. W imieniu banku chciałbym przeprosić naszych klientów za zaistniałą sytuację" – przekazał Artur Newecki, rzecznik prasowy Getin Noble Bank.
Komentarz UODO
Do UODO trzeba zgłaszać wszystkie naruszenia ochrony danych osobowych, gdy w związku z naruszeniem istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje nie tylko imię i nazwisko, ale także nr PESEL.
Celem zgłaszania naruszeń prezesowi UODO w ciągu 72 godzin jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości.
W przypadku poważnych naruszeń bardzo ważny jest czas reakcji. Dlatego gdyby okazało się np., że administrator powinien powiadomić nie tylko UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.
Takimi działaniami może być założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości.
Odpowiadając na pytanie o ewentualne konsekwencje naruszenia, informuję, że za nieprzestrzeganie zasad określonych w RODO administrator ponosi odpowiedzialność. Kary finansowe w RODO to tylko jeden z instrumentów oddziaływania, jakimi dysponuje prezes UODO, by zapewnić przestrzeganie prawa. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być bowiem m.in. wydane ostrzeżenie, udzielone upomnienie czy wydany nakaz dostosowania określonych działań do obowiązujących przepisów. Więcej informacji na temat ten temat znajduje się w materiale „Jak prezes UODO nakłada administracyjne kary pieniężne?”.
Informuję również, że każda osoba, która ma wątpliwości, czy administrator właściwie postępuje z danymi osobowymi, w tym przestrzega praw wynikających z RODO, ma prawo złożyć skargę do UODO. Każda sprawa skierowana do UODO jest rozpatrywania indywidualnie z uwzględnieniem wszystkich okoliczności jej dotyczących.
Ponadto warto nadmienić, iż każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO.
WB
