Bank uznał, że nic się nie stało. Prezes UODO przeciwnie i nałożył karę

Bank uznał, że nic się nie stało. Prezes UODO przeciwnie i nałożył karę

Santander
Santander Źródło: Shutterstock / Kapustin Igor
Ktoś ukradł przesyłkę zawierająca dane klientów Santander Banku. Uczciwy znalazca odniósł przesyłkę n policję, więc bank uznał, że nic złego się nie stało i nie podjął żadnych działań: nie poinformował osób, których dane znalazły się w przesyłce ani prezesa Urzędu Ochrony Danych Osobowych. Ten jednak dopatrzył się naruszenia przepisów i zadecydował o nałożeniu kary.

Przesyłka z banku zawierająca dane klientów, m.in. imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, została skradziona firmie kurierskiej i porzucona. Uczciwy znalazca odniósł ją na policję. Bank został poinformowany o zdarzeniu, ale nie wszczął żadnych procedur wynikających z naruszenia ochrony danych osobowych. Zapytany przez prezesa Urzędu Ochrony Danych Osobowych, dlaczego nie zareagował, w oficjalnym piśmie wyjaśnił, że nie widział takiej potrzeby. Znalazła zapewnił policjantów, że nie skopiował danych znalezionych w przesyłce. Santander Bank uznał sprawę za niebyłą.

Santander Bank nie poinformował o naruszeniu danych osobowych

To swobodne podejście do tematu może kosztował bank 1,44 mln zł. O nałożeniu takiej kary zadecydował prezes UODO Mirosław Wróblewski. W decyzji podkreślił, że w przypadku wystąpienia naruszenia ochrony danych, „oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora”. Dodał, że brak zawiadomienia osób dotkniętych naruszeniem (a bank nie skontaktował się z osobami, których dane znalazły się w ukradzionej przesyłce) pozbawia je możliwości podjęcia reakcji, którą w tej sytuacji uważają za właściwą.

Santander Bank nie poinformował nie tylko klientów, ale i Urzędu Ochrony Danych Osobowych. Prezes tej instytucji o nieprzyjemnej sytuacji dowiedział się z mediów.

„Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia” – wyjaśniono w decyzji.

Prezes UODO zadecydował o nałożeniu na Santander Bank kary pieniężnej w wysokości 1,44 mln zł oraz zobowiązał go do zawiadomienia osób, których ochrona danych została naruszona na skutek zdarzenia.

Czytaj też:
Co dalej z podatkiem Belki? Wiceminister mówi, na jakim etapie są prace
Czytaj też:
Lokaty na rok. Niespodziewany nowy lider

Opracowała:
Źródło: Wprost