Urząd Ochrony Danych Osobowych uznał, iż bank nie dopełnił obowiązków wynikających z RODO po tym jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.
Jak wyjaśniono w poniedziałkowym komunikacie UODO, pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. - Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały - czytamy.
W dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości).
Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań. Tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku sprawy nie trzeba było ujawniać.
UODO: ogromne ryzyko dla klientów
Prezes UODO nie podzielił tego stanowiska. Stwierdził między innymi, że (…) wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”. Powołane wytyczne kładą nacisk na długotrwałość relacji między administratorem (nadawcą omyłkowo przesłanej korespondencji) a odbiorcą (tej korespondencji) i – wynikającą z tej długotrwałej relacji – znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi (str. 25 – 26 Wytycznych 9/2022) (…).