W przypadku Santander Bank Polska S.A., problem wyszedł na jaw, gdy media doniosły o upublicznieniu dokumentów bankowych, które znalazły się na ulicy po tym, jak zostały skradzione firmie kurierskiej. Wśród upublicznionych danych znalazły się informacje szczególnie wrażliwe: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe, kontaktowe, numery PESEL, nazwy użytkowników i hasła do systemów bankowych, a nawet informacje o zarobkach oraz seria i numery dowodów osobistych. Mimo że przesyłka została odnaleziona przez przypadkową osobę, która następnie zaniosła dokumenty na policję, bank nie poinformował UODO o incydencie, tłumacząc, że nie doszło do wycieku danych.

Prezes UODO wskazał jednak, że niezależnie od okoliczności, w przypadku naruszenia ochrony danych, bank miał obowiązek zgłosić ten fakt organowi nadzorczemu. Wskazano, że takie działanie pozbawia osoby, których dane dotyczą, możliwości reagowania na naruszenie i oceny potencjalnego ryzyka dla ich prywatności oraz bezpieczeństwa

W toku postępowania wykazano również, że jest to kolejne naruszenie tego typu w historii działalności Santander Bank Polska S.A. Wcześniej, decyzją z 19 stycznia 2022 r., bank ten został ukarany administracyjną karą pieniężną w wysokości 545 tys. zł za naruszenie obowiązku informowania osób, których dane dotyczą, o naruszeniu.

Toyota Bank Polska S.A. również doświadczył reperkusji za podobne zaniedbania. Bank został ukarany za spóźnione zgłoszenie naruszenia ochrony danych osobowych, które zostało dokonane dopiero półtora roku po zdarzeniu, na skutek skargi poszkodowanej osoby. Naruszenie polegało na wysłaniu danych klienta do nieuprawnionego odbiorcy, co stwarzało wysokie ryzyko dla praw i wolności osoby, której dane ujawniono, w tym ryzyko kradzieży tożsamości.

Prezes UODO podkreślił w swoich decyzjach, że w obu przypadkach banki nie zapewniły odpowiedniego poziomu ochrony danych osobowych swoich klientów, co stanowi poważne naruszenie obowiązujących przepisów o ochronie danych. Dodatkowo, zaniedbania te nie tylko naraziły klientów na potencjalne szkody, ale również pozbawiły organ nadzorczy możliwości podjęcia odpowiednich działań w celu zminimalizowania negatywnych skutków incydentu.

Z pełną treścią obu decyzji Prezesa UODO, nakładających kary na administratorów w opisanych sprawach, można zapoznać się pod poniższymi linkami:

DKN.5131.59.2022

DKN.5131.28.2023

Źródło: https://uodo.gov.pl/pl/138/3049

Masz pytania?

Jeśli masz więcej pytań dotyczących naruszeń przetwarzania danych, więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby.

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Jeżeli chciałbyś skorzystać ze wsparcia lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl  >>>>>>>>>>> Wsparcie w przypadku naruszeń