Urząd Ochrony Danych Osobowych (UODO) nałożył na mBank karę w wysokości ponad 4 mln zł. Ma to związek z wyciekiem danych grupy klientów instytucji do którego doszło pod koniec czerwca 2022 roku.
– Bank nie dopełnił obowiązków wynikających z RODO po tym jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu – podkreśla w komunikacie UODO.
Wyciek danych w mBanku. Jak do tego doszło?
Pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały. W dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości). mBank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – prezes UODO poinformował o konieczności podjęcia takich działań.
Bank tłumaczył, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa (chodzi o podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego). Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. Zdaniem mBanku sprawy nie trzeba było ujawniać.
Urząd nie uznał tego stanowiska, wskazując, że „wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”.
– Powołane wytyczne kładą nacisk na długotrwałość relacji między administratorem (nadawcą omyłkowo przesłanej korespondencji) a odbiorcą (tej korespondencji) i – wynikającą z tej długotrwałej relacji – znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi (str. 25 – 26 Wytycznych 9/2022) – podkreśla UODO.
Prezes UODO uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia.
– Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. W wyjaśnieniach bazował na zapewnieniach, ze strony osób mających dostęp do ujawnionych danych, o tym, że nic złego się nie stało. To za mało. Bo przy analizowaniu takiej sytuacji należy zawsze wziąć pod uwagę także prawa osób, których naruszenie dotyczyło. Podkreślenia wymaga fakt, że przestrzeganie innych tajemnic prawnie chronionych nie zwalnia ze stosowania RODO – czytamy w komunikacie urzędu.
Zbyt łagodna kara?
UODO zwraca uwagę, że nałożoną karę należy uznać za „stosunkowo łagodną", gdyż "zgodnie zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych". Urząd wskazuje również, że kwota 4 mln zł stanowi tylko 24 tysięczne procenta obrotów banku.
Sam mBank zapowiedział złożenie odwołania do Wojewódzkiego Sądu Administracyjnego w Warszawie, tłumacząc, że jeszcze w 2022 roku zgłosił zdarzenie do UODO i przedstawił swoją argumentację w tej sprawie.
Czytaj też:
Robią biznes na bankowych promocjach. Ekspert ostrzega: To ma uśpić czujnośćCzytaj też:
Lokaty na trzy miesiące. Spore przetasowania w rankingu