Do wycieku doszło w czerwcu wskutek błędu pracownika firmy przetwarzającej dane na zlecenie banku, który omyłkowo przesłał dokumenty klientów do innej instytucji finansowej. Choć dokumenty wróciły do banku, koperta była wcześniej otwarta, co stwarzało możliwość, że osoby trzecie mogły zapoznać się z zawartymi w nich danymi.

Zakres wycieku obejmował takie dane jak nazwiska, numery PESEL, daty urodzenia, adresy, dane dotyczące zarobków, numery rachunków bankowych, a także informacje związane z kredytami i nieruchomościami.

Pomimo powagi sytuacji, bank nie poinformował klientów o incydencie bezpieczeństwa, uzasadniając to faktem, że dane trafiły do instytucji, którą uznał za zaufaną.

„Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego. Argumentując tę decyzję, podkreślił, między innymi, że (…) Wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”. Powołane wytyczne kładą nacisk na długotrwałość relacji między administratorem (nadawcą omyłkowo przesłanej korespondencji) a odbiorcą (tej korespondencji) i – wynikającą z tej długotrwałej relacji – znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi (str. 25 – 26 Wytycznych 9/2022) (…).”

Prezes UODO uznał jednak, że brak powiadomienia klientów naraził ich na poważne ryzyko, uniemożliwiając podjęcie działań zabezpieczających. Z tego powodu nałożono karę finansową, która mogła być znacznie wyższa – zgodnie z RODO, mogła wynieść nawet 337 milionów złotych.

Decyzja Prezesa UODO ma na celu podkreślenie, że ochrona danych osobowych klientów jest obowiązkiem prawnym, a nieinformowanie o naruszeniach będzie surowo karane.

Treść decyzji DKN.5131.1.2024

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl