Dane do kont klientów porzucone na osiedlu. Bank ukarany, jest odwołanie
Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę w wysokości sięgającej niemal 1,5 mln zł na Santander Bank Polska SA, za brak zgłoszenia naruszeń ochrony danych. W porzuconej na jednym z wielkomiejskich osiedli paczce znajdowały się imiona, nazwiska, daty urodzenia, numery PESEL i numery rachunków bankowych klientów. Jakby tego było mało, w porzuconej przesyłce można było się doszukać haseł do kont bankowych i choćby danych o zarobkach klientów. Bank nie zgadza się z decyzją UODO i zamierza ją zaskarżyć. UODO ukarał również inny działający w Polsce bank - Toyota Bank (również za niezgłoszenie naruszenia ochrony danych). W tym przypadku kara wyniosła 78 tys. zł.
"Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska SA za brak zgłoszenia naruszenia ochrony danych. Podobnie Toyota Bank Polska SA został ukarany za brak zgłoszenia naruszenia ochrony danych osobowych" - poinformował we wtorkowym komunikacie UODO.
Co ciekawe, prezes UODO o naruszeniu ochrony danych osobowych w Santander Bank Polska dowiedział się z mediów. Polegało ono na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym jak została ona wcześniej skradziona firmie kurierskiej. W przesyłce były m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.
Administrator tłumaczył, że naruszenie danych nie zostało zgłoszone, ponieważ przesyłka została odnaleziona przez zidentyfikowaną osobę w krótkim czasie po jej utracie przez kuriera. Co więcej, osoba ta złożyła oświadczenie, że nie kopiowała i nie przekazywała nikomu znaleziska (w domyśle - wrażliwe dane nie zostały upowszechnione).
UODO był jednak nieprzejednany - wskazał, że brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, "w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje".
Dodatkowo UODO zwrócił uwagę na brak pewności, że do zawartości paczki miała dostęp tylko osoba, którą ją odnalazł i zwróciła.
Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u administratora danych jakim jest Santander Bank Polska.
- Bank nie zgadza się z decyzją UODO, zostanie wniesiona skarga do Wojewódzkiego Sądu Administracyjnego - poinformował we wtorek Inspektor Ochrony Danych w Santander Bank Polska Jarosław Dobosz w rozmowie z Polską Agencją Prasową.
- Bank nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego. Kara dotyczy zdarzenia z 2018 roku. Bank po zdarzeniu podjął działania zgodne z przepisami RODO, a w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości - stwierdził.
Kolejną karą, o której poinformował we wtorek UODO jest kara nałożona na Toyota Bank Polska za niezgłoszenie w terminie naruszenia ochrony danych. W tym przypadku bank zgłosił naruszenie półtora roku po jego wystąpieniu, dopiero w odpowiedzi na pytanie urzędników zaniepokojonych informacją od klienta banku.
Naruszenie polegało na wysłaniu przez Toyota Bank Polska danych osoby do nieuprawnionego odbiorcy.
W decyzji UODO zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób.
***