Prawie 400 tys. kary dla banku. Kurier zgubił dane klientów

Firma kurierska zgubiła korespondencję z danymi osobowymi klientów Banku Millenium. I choć bank poinformował ich o tym fakcie, okazało się, że nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu.

Prawie 400 tys. kary dla banku. Kurier zgubił dane klientów
  • Monika Świetlińska
  • /
  • 15 listopada 2021

Kurier zgubił dane klientów

- UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku — przekazuje nam Adam Sanocki, rzecznik prasowy UODO.

Jak złożyć skargę do UODO?Jak złożyć skargę do UODO?Martyna Kowalska

- Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia – podkreślił organ nadzorczy w decyzji nakładającej na Bank Millenium S.A karę w wysokości ponad 363 tys. zł.

Niestety, skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające.

- Do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje - zaznaczył rzecznik prasowy UODO.

Kara nie musiała być tak wysoka

Gdyby bank powiadomił organ nadzorczy, otrzymałby informację, że należy także powiadomić o naruszeniu osoby. Trzeba też pamiętać, że nie jest istotne czy nieuprawniony odbiorca wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko.

Vinted pod lupą UODOVinted pod lupą UODOMikołaj Frączak

- Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO — przekazał Adam Sanocki.

Bank raczej nie był skory do współpracy z UODO. - W toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający był stopień współpracy z organem nadzoru. Wymierzając karę PUODO wziął też pod uwagę umyślność działania oraz charakter i wagę naruszenia. Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniami ochrony danych — podsumował urząd.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Czy ten artykuł był przydatny?

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!