Prawie 400 tys. kary dla banku. Kurier zgubił dane klientów
Firma kurierska zgubiła korespondencję z danymi osobowymi klientów Banku Millenium. I choć bank poinformował ich o tym fakcie, okazało się, że nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu.
- Monika Świetlińska
- /
- 15 listopada 2021
Kurier zgubił dane klientów
- UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku — przekazuje nam Adam Sanocki, rzecznik prasowy UODO.
Jak złożyć skargę do UODO?Martyna Kowalska
- Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia – podkreślił organ nadzorczy w decyzji nakładającej na Bank Millenium S.A karę w wysokości ponad 363 tys. zł.
Niestety, skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające.
- Do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje - zaznaczył rzecznik prasowy UODO.
Kara nie musiała być tak wysoka
Gdyby bank powiadomił organ nadzorczy, otrzymałby informację, że należy także powiadomić o naruszeniu osoby. Trzeba też pamiętać, że nie jest istotne czy nieuprawniony odbiorca wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko.
Vinted pod lupą UODOMikołaj Frączak
- Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO — przekazał Adam Sanocki.
Bank raczej nie był skory do współpracy z UODO. - W toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający był stopień współpracy z organem nadzoru. Wymierzając karę PUODO wziął też pod uwagę umyślność działania oraz charakter i wagę naruszenia. Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniami ochrony danych — podsumował urząd.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z
informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci
się
artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej
masz
szybkie linki do udostępnień.