Bank nie dopełnił obowiązków wynikających z RODO, po tym, jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dotyczą dane, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.
Pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że zapoznały się z dokumentacją. W dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości).
Zobacz również
Bank nie zawiadomił o problemie klientów, mimo że po zgłoszeniu naruszenia Prezes UODO poinformował o konieczności podjęcia takich działań. W wyjaśnieniach tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego.
Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego. Argumentując tę decyzję, podkreślił, między innymi, że (…) Wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. „odbiorcę zaufanego”.
W ocenie Prezesa UODO przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza. Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną.
#NMPoleca: Jak piękny design zwiększa konwersję w e-commerce? Tips & Tricks od IdoSell
źródło: mat. prasowe, opracowanie: Agata Drynko
Słuchaj podcastu NowyMarketing
Zdjęcie główne: PressKit mBank
PS UODO: Kara 2,3 mln euro dla platformy sprzedażowej Vinted
2 lipca 2024 r. litewski organ ochrony danych nałożył administracyjną karę pieniężną w wysokości ponad 2,3 mln euro na spółkę Vinted UAB, operatora platformy sprzedażowej oraz powiązanej z nią aplikacji, umożliwiającej użytkownikom sprzedaż i zakup używanych ubrań.