UODO: kara dla Banku Millenium. Za niezgłoszenie naruszeń bez zwłoki

Urząd Ochrony Danych Osobowych nałożył na Bank Millenium administracyjną karę pieniężną w wysokości ponad 363,8 tys. zł m.in. za niezgłoszenie prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki - poinformował urząd w poniedziałkowym komunikacie.

bank millenniumDoszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi. Bank zbagatelizował sprawę
Źródło zdjęć: © money.pl | Rafał Parczewski
oprac.  KKG

W komunikacie czytamy, że UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.

Bank uznał, że ryzyko konsekwencji jest średnie

"Skarżący zostali o tym fakcie powiadomieni przez bank, ale informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO. W toku sprawy okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych" - napisano.

Wyciek danych. Prezes UODO pisze do Facebooka: to ogromne zagrożenie
Wyciek danych. Prezes UODO pisze do Facebooka: to ogromne zagrożenie

Jak wyjaśnia UODO, bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą.

Uwaga na fałszywe strony banków. Ekspert o trikach cyberprzestępców

W komunikacie podkreślono, że do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia.

UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby.

Naruszenie danych i kara

Urząd wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko.

"Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO" - napisano w komunikacie.

UODO wskazał, że decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia.

"Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniami ochrony danych" - napisano w komunikacie

Bank Millennium: sprawa jest incydentalna

W stanowisku przesłanym redakcji money.pl Agnieszka Kubajek z departamentu Public Relations Banku Millennium zapewnia, że "sprawa jest incydentalna i nie dotyczy bezpieczeństwa przetwarzania danych, a uchybienia formalnego obowiązku".

"Bank poważnie traktuje wszelkie wytyczne i stanowiska organu, niemniej zostanie w tej sprawie złożona skarga do Wojewódzkiego Sądu Administracyjnego, ponieważ postępowanie w ocenie banku było w pełni zgodne z obowiązującym prawem oraz wewnętrznymi procedurami. Bank stosuje wysokie standardy ochrony danych osobowych. Dane klientów są bezpieczne" - zapewnia Agnieszka Kubajek.

Źródło artykułu:
Wybrane dla Ciebie
Ważna zmiana dotycząca polskich szkół. Miasta przyklaskują. PiS: to podstęp
Ważna zmiana dotycząca polskich szkół. Miasta przyklaskują. PiS: to podstęp
Cyberatak na ciepłownię na Mazurach. Uderzono w dwa kotły
Cyberatak na ciepłownię na Mazurach. Uderzono w dwa kotły
Trump wysłał jasny sygnał ws. szefa Fed. Chciałby lojalisty
Trump wysłał jasny sygnał ws. szefa Fed. Chciałby lojalisty
Fikcyjne firmy, szkoły i muzea. Tak przemycani są do Polski cudzoziemcy
Fikcyjne firmy, szkoły i muzea. Tak przemycani są do Polski cudzoziemcy
Obniżki na stacjach paliw nie hamują. Oto nowe stawki
Obniżki na stacjach paliw nie hamują. Oto nowe stawki
ZUS rusza z wysyłką PIT-ów. Trafią do ponad 10,5 mln Polaków
ZUS rusza z wysyłką PIT-ów. Trafią do ponad 10,5 mln Polaków
Ponad godzina dziwacznej przemowy, ale inwestorzy odetchnęli. Giełdy reagują
Ponad godzina dziwacznej przemowy, ale inwestorzy odetchnęli. Giełdy reagują
Zamiast USA będą Chiny. Kanada odpowiada na szantaż Trumpa
Zamiast USA będą Chiny. Kanada odpowiada na szantaż Trumpa
Trump o Grenlandii: Nie użyję siły. Proszę o kawałek lodu
Trump o Grenlandii: Nie użyję siły. Proszę o kawałek lodu
Komisarz UE apeluje o dialog handlowy z USA. "Uniknijmy równi pochyłej"
Komisarz UE apeluje o dialog handlowy z USA. "Uniknijmy równi pochyłej"
Trump o cudzie gospodarczym w USA. "Gdy u nas dzieje się źle, ciągniemy was za sobą"
Trump o cudzie gospodarczym w USA. "Gdy u nas dzieje się źle, ciągniemy was za sobą"
Nie 2, a nawet 8 dni płatnej opieki nad dzieckiem. Inicjatywa w Sejmie
Nie 2, a nawet 8 dni płatnej opieki nad dzieckiem. Inicjatywa w Sejmie