Bank nie zgłosił incydentu do UODO, a klientów powiadomił, ale nie dopełniając wymogów określonych w RODO
Urząd Ochrony Danych Osobowych nałożył na Bank Millennium karę w wysokości ponad 363 tys. zł. Bank nie zgłosił do UODO naruszenia bezpieczeństwa danych osobowych dwojga swoich klientów, a także nie w pełni powiadomił ich samych o incydencie.
Jak się okazuje, firma kurierska zgubiła korespondencję, w której znajdowały się takie dane osobowe klientów ukaranej instytucji jak imię, nazwisko, numer PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku. Millennium powiadomił o tym fakcie klientów, jednak przekazane im informacje nie spełniały wymagań określonych w RODO. Ci zdecydowali się więc złożyć skargę na bank do Urzędu Ochrony Danych Osobowych.
UODO przyjrzał się sprawie i ocenił, że administrator danych osobowych nie zachował się odpowiednio. Bank uznał bowiem, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił zdarzenia do UODO, ani nie zrealizował w pełni obowiązków związanych z powiadomieniem osób, których dane dotyczą.
Tymczasem Urząd podkreśla, że należy mu zgłaszać wszystkie incydenty, w których istnieje wyższe niż małe prawdopodobieństwo szkodliwego wpływu na prawa lub wolności osób, których dane dotyczą. Gdyby administrator powiadomił organ nadzorczy, to dowiedziałby się, że w tym przypadku powinien również przekazać odpowiednie informacje klientom. Osoby dotknięte incydentem powinny bowiem zostać poinformowane, jeśli ryzyko niekorzystnych zdarzeń, takich jak np. kradzież lub sfałszowanie tożsamości, strata finansów czy naruszenie dobrego imienia, jest wysokie. W tym przypadku szeroki zakres danych zawartych w korespondencji może narazić skarżących na takie konsekwencje. UODO zaznacza przy tym, że nie jest istotne, czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał. Liczy się sam fakt, że wystąpiło takie ryzyko.
Na wysokość kary wpłynęło m.in. to, że w toku postępowania Millennium nadal nie zrealizował obowiązków związanych z naruszeniem i niezadowalająco współpracował z organem nadzoru. Urząd uwzględnił także takie czynniki jak umyślność działania oraz charakter i waga naruszenia. Zdaniem UODO kara ta będzie również pełnić funkcję represyjną i skłoni nie tylko Millennium, ale i innych administratorów danych osobowych do prawidłowego wywiązywania się z obowiązków związanych z naruszeniami ochrony danych.
AKTUALIZACJA
Po publikacji artykułu otrzymaliśmy stanowisko Banku Millennium w tej sprawie:
"Otrzymaliśmy informację o decyzji Prezesa UODO z dnia 14.10.2021 r. w kwestii ochrony danych osobowych w Banku Millennium. Sprawa jest incydentalna i nie dotyczy bezpieczeństwa przetwarzania danych, a uchybienia formalnego obowiązku.
Bank poważnie traktuje wszelkie wytyczne i stanowiska organu, niemniej zostanie w tej sprawie złożona skarga do Wojewódzkiego Sądu Administracyjnego, ponieważ postępowanie w ocenie banku było w pełni zgodne z obowiązującym prawem oraz wewnętrznymi procedurami. Bank stosuje wysokie standardy ochrony danych osobowych. Dane klientów są bezpieczne. – Biuro prasowe Banku Millennium"
Fot. freepik.com