01.10.2024

Kolejna kara Prezesa UODO za niezawiadomienie osób poszkodowanych wyciekiem danych osobowych

Anna Bartosiak

Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył kolejną karę za brak powiadomienia poszkodowanych osób o wycieku ich danych osobowych. Choć kara w wysokości przekraczającej 4 mln złotych wydaje się niemała, to i tak stanowi jedynie 24 tysięczne procenta obrotów ukaranego mBanku, a zatem daleko jej do maksymalnego wymiaru kary wynikającego z RODO.

Na czym polegało naruszenie?

Wydana decyzja dotyczy zdarzenia, które miało miejsce w czerwcu 2022 r., kiedy to pracownik firmy przetwarzającej dane na zlecenie mBanku przesłał dokumenty zawierające dane osobowe klientów banku do innej instytucji finansowej, niż ta która powinna te dane otrzymać. Choć adresat odesłał do banku przedmiotowe dokumenty, niemniej koperta je zawierająca została otwarta. W konsekwencji, osoby trzecie uzyskały dostęp do danych osobowych i miały możliwość się z nimi zapoznać. Katalog tych danych był zaś szeroki i obejmował: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości). mBank, mimo zobowiązania Prezesa UODO o powyższym zdarzeniu swoich klientów nie powiadomił.

Co na to Prezes UODO?

Jak wynika z uzasadnienia decyzji, Prezes UODO nie przychylił się do argumentacji banku, który brak swoich działań argumentował okolicznością, iż dokumenty omyłkowo trafiły do instytucji, która tak samo jak bank zobowiązana jest do zachowania tajemnicy bankowej, a dodatkowo tym, iż jest to podmiot, z którym bank współpracuje i który ma w jego ocenie status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów zawierających dane osobowe, a zatem w ocenie banku nie stało się nic złego i nie było potrzeby powiadamiać podmiotów danych. Prezes UODO argumentując wydaną decyzję uznał, iż możliwość ujawnienia tak szerokiego katalogu danych osobowych stwarza dla osób, których one dotyczą, ogromne ryzyko. Wobec braku powiadomienia o zdarzeniu, nie mogły one jednak przeciwdziałać jego ewentualnym negatywnym skutkom. Dodatkowo Prezes UODO nie uznał argumentacji banku w zakresie podmiotu zaufanego, jak również podkreślił, że przestrzeganie innych tajemnic prawnie chronionych (np. bankowej) nie zwalnia z obowiązków wynikających z RODO. Jak zauważył Prezes UODO, zachowanie banku jest przykładem lekceważenia praw osób, których dane osobowe przetwarza jako administrator oraz wskazuje na przyjętą przez bank systemową praktykę nieinformowania osób, których dane zostały naruszone, co zasługuje na wyjątkowo negatywną ocenę.

Jakie obowiązki wynikają z RODO?

Pamiętać należy, iż w przypadku, gdy ujawnienie danych może powodować wysokie ryzyko naruszenia praw i wolności osób których dane dotyczą, na administratorze ciąży obowiązek poinformowania takich osób jasnym i prostym językiem o:

  • charakterze i rodzaju naruszenia ochrony danych osobowych,
  • imieniu, nazwisku oraz danych kontaktowych inspektora ochrony danych lub danych innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  • możliwych konsekwencjach naruszenia dla osób, których dane zostały ujawnione,
  • zastosowanych lub proponowanych przez administratora środkach zaradczych, w tym w stosownych przypadkach środkach w celu zminimalizowania jego ewentualnych negatywnych skutków.

mBank takich działań, wbrew wyraźnym instrukcjom Prezesa UODO, jednak nie podjął.

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v2. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.