Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych. Podobnie Toyota Bank Polska S.A. został ukarany za brak zgłoszenia naruszenia.

Publikacja: 02.04.2024 13:01

Banki ukarane, bo po wycieku danych nie zatroszczyły się o interes klientów

Foto: Bloomberg

dgk

O naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. prezes UODO dowiedział się z mediów. Naruszenie polegało na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce. Wcześniej przesyłka skradziona firmie kurierskiej. W dokumentach były m.in. imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.

Nie ma znaczenia ile osób widziało skradzione dane

Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę krótko po jej utracie przez kuriera. Osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów. Ustalono też, że w przesyłce nie brakowało żadnych dokumentów.

Prezes UODO uznał jedna, że oceniając ryzyko naruszenia, bank powinien oceniać przez pryzmat osób, których dane zostały ujawnione, a nie przez pryzmat własnych interesów.

„Brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.” - wyjaśnił Prezes UODO.

Uznał też, że bez znaczenia jest to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę. Poza tym administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki.

Czytaj więcej

Dane osobowe

Santander Bank surowo ukarany za naruszenie RODO

545 tys. zł kary administracyjnej ma zapłacić Santander Bank Polska S. A. za niezawiadomienie bez zbędnej zwłoki obecnych i byłych pracowników Banku, że mogło dojść do naruszenia poufności ich danych osobowych.

To nie pierwsze naruszenie ochrony danych i niejedyny bank

Przy ustalaniu wymiaru kary organ nadzorczy wskazał, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone w Santander Bank Polska S.A. W 2021 r. była pracownica poinformowała, że po zakończeniu pracy dla Santander Bank S.A. nie zostały jej odebrane uprawnienia dostępu do profilu pracodawcy na Platformie Usług Elektronicznych ZUS. Mogła je dowolnie przeglądać jeszcze przez 8 miesięcy. W styczniu 2022 r. Santander Bank Polska S.A. dostał administracyjną karę pieniężną w wysokości 545 tys. zł (sygn. DKN.5131.33.2021) za naruszenie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą.

Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

Bankowość Banki Dane Osobowe Urząd Ochrony Danych Osobowych (UODO)

Pozostało 88% artykułu

Podatki

Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA

Naliczenia podatku od spadków i darowizn, gdy w wyniku odwołania darowizny doszło do skutecznego anulowania podstawy przysporzenia i jego zwrotu, nie da się pogodzić z konstytucją – uznał NSA.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Prawo w Polsce

Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"

Amnesty International Polska oraz sześć innych organizacji zwróciło się do premiera Donalda Tuska o zainicjowanie przez rząd procesu legislacyjnego prowadzącego do nowelizacji ustawy prawo o zgromadzeniach.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Praca, Emerytury i renty

Ile trzeba zarabiać, żeby na konto trafiło 5000 zł

Zastanawiasz się, ile musisz zarabiać brutto, by na Twoje konto wpływało 5000 zł netto? Kwota ta znacząco różni się w zależności od formy zatrudnienia.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp

Prawo karne

Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach

W polskich aresztach i zakładach karnych przebywa o ponad 5 tys. więźniów mniej niż przed rokiem. Częściej wychodzą na wolność przed zakończeniem odbywania kary. - To dobra wiadomość - chwali ekspert.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Ubezpieczenia

Solidne wyniki PZU mimo powodzi. Niebawem nowa strategia

W wynikach PZU widać wprawdzie katastrofalną powódź na południu Polski, ale spadek zysku jest wyraźnie niższy od tego, którego obawiali się analitycy. Za nieco ponad tydzień poznamy strategię Grupy PZU na lata 2025-27.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?

Banki

Frankowa kontrofensywa banków. Nie warto jej lekceważyć

Banki w sprawach frankowych masowo pozywają swoich klientów o zwrot udostępnionego kapitału. Próbują w ten sposób bronić się przed przedawnieniem kapitału. Liczba takich spraw sięga już 30 tys. Prawnicy radzą, by wezwania do zapłaty traktować poważnie

Banki

Czy polskie banki chcą brać udział w odbudowie Ukrainy? Oto wyniki badań

W ślad za oczekiwaniami klientów i etycznym obowiązkiem, sektor bankowy w Polsce nie wyklucza zaangażowania w finansowanie procesów odbudowy Ukrainy. Ale konieczne jest tu wsparcie publiczne i dobre przygotowanie.

Raporty orzecznicze

Raport orzeczniczy październik 2024

Przedstawiamy najciekawsze orzeczenia z zakresu prawa gospodarczego, administracyjnego, prawa pracy i ubezpieczeń, a także cywilnego oraz karnego wybrane z października 2024 r.

Drogowy

Co trzecia firma transportowa z długami

Brak stałych wpływów i zleceń oraz szybko rosnące koszty prowadzą do popadania firm w długi i coraz słabszej sytuacji finansowej sektora.

Emil Łobodziński, menedżer zespołu doradca inwestycyjny, BM PKO BP

Poradniki Rzeczpospolitej Ekonomia

Jak kupować obligacje skarbowe? Rozmawiamy z doradcą inwestycyjnym

– Polscy inwestorzy nie mają świadomości, że w detalicznych obligacjach skarbowych indeksowanych inflacją mają fantastyczny instrument – mówi Emil Łobodziński, doradca inwestycyjny BM PKO BP.