Hasła do kont porzucone na osiedlu. Gigantyczna kara dla banku

"Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych" - poinformował Urząd Ochrony Danych Osobowych (UODO) na swoich stronach internetowych. Bank nie zgadza się z decyzją UODO i wniesie skargę do Wojewódzkiego Sądu Administracyjnego.

Jak wyjaśniono w komunikacie, prezes UODO o naruszeniu ochrony danych osobowych w Santander Bank Polska dowiedział się z mediów. Polegało ono na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym jak została ona wcześniej skradziona firmie kurierskiej.

"W przesyłce były m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych. Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów" - czytany w komunikacie.

Jak podano, prezes UODO w swojej decyzji wskazał, iż w przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.

Brak zgłoszenia naruszenia ochrony danych osobowych prezesowi UODO - jak wskazano - pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Urząd nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

"Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora. Prezes UODO, decyzją z dnia 19 stycznia 2022 r. z uwagi na naruszenie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości 545 tys. zł" – czytamy w komunikacie UODO.

Dodano, że oprócz kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.

Bank po zdarzeniu podjął działania zgodne z przepisami RODO, a w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości - poinformował PAP Inspektor Ochrony Danych w Santander Bank Polska Jarosław Dobosz.

"Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem" - wskazano w komunikacie.

Wyjaśniono, że naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji urząd zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.