Urząd Ochrony Danych Osobowych poinformował o nałożeniu na mBank kary w kwocie ponad 4 mln zł. Bank został ukarany za to, że nie zawiadomił osób poszkodowanych o wycieku danych, do jakiego doszło w 2022 r. Instytucja nie zgadza się z decyzją urzędu i zamierza się odwołać do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Informacje o grupie klientów mBanku trafiły do nieuprawnionego odbiorcy na skutek błędu pracownika firmy przetwarzającej dane osobowe na zlecenie banku. Pomylił się i przekazał je innej instytucji finansowej. Dokumenty wróciły do mBanku, ale koperta została wcześniej otwarta. Oznacza to, że mogły się z nimi zapoznać osoby trzecie. Na wydrukach umieszczono m.in. takie dane klientów mBanku jak imiona, nazwiska, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania lub pobytu, numery PESEL, dane dotyczące zarobków i/lub posiadanego majątku czy numery i serie dowodów osobistych.
Bank zgłosił naruszenie do UODO, ale nie zawiadomił o problemie samych klientów. W wyjaśnieniach przekazanych Urzędowi mBank tłumaczył, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, a do tego jest to podmiot, z którym bank współpracuje i który zdaniem mBanku ma status podmiotu zaufanego. Pracownicy wspomnianej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W ocenie mBanku okoliczności te przesądzały o tym, że nie było konieczności informowania klientów o zdarzeniu.
Prezes UODO nie uznał jednak stanowiska mBanku w zakresie podmiotu zaufanego, argumentując, że podmiot uznaje się za tzw. odbiorcę zaufanego na podstawie bezpośredniej i stałej relacji między nadawcą a odbiorcą (której tu nie stwierdzono), a nie ze względu na jego status czy działanie w ramach przepisów prawa. Jednocześnie podkreślił, że "możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko", a ponieważ osoby te nie zostały powiadomione o problemie, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. Urząd nie dał się też przekonać zapewnieniom o zachowaniu poufności od osób, które miały dostęp do ujawnionych danych. Jak zaznaczono, przestrzeganie innych tajemnic prawnie chronionych nie zwalnia ze stosowania RODO.
"W ocenie Prezesa UODO przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza. Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną. Na podstawie analiz spraw, które docierają do organu nadzorczego, można założyć, że przyjęta praktyka nieinformowania osób, których dane zostały naruszone, uzasadniana jak w przypadku omawianego naruszenia ochrony danych osobowych, jest przejawem systemowej postawy (polityki) banku, co zasługuje na wyjątkowo negatywną ocenę Prezesa UODO." – podsumowuje Urząd w komunikacie na temat nałożenia kary.
Serwis cashless.pl poprosił mBank o komentarz do sprawy. Publikujemy go poniżej w całości:
"Nie zgadzamy się z decyzją Prezesa UODO i odwołamy się do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W lipcu 2022 r. samodzielnie zgłosiliśmy do UODO fakt, że nasz podwykonawca zamiast do mBanku, omyłkowo skierował do innego banku dokumenty trójki klientów. Podwykonawca współpracował również z tym bankiem. Po stwierdzonej pomyłce wszystkie dokumenty bezzwłocznie wróciły do nas.
Dane wspomnianej trójki klientów pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO.
Na naszą ocenę sytuacji wpłynęło to, że dokumenty trafiły do podmiotu zaufanego, a więc nie wystąpiło istotne ryzyko naruszenia praw i wolności naszych klientów.
Naszą argumentację dot. oceny tego zdarzenia przekazaliśmy Prezesowi UODO jeszcze w 2022 r. Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna."
