Pracownicy popularnego banku popełnili poważny błąd. Klienci nie zostali powiadomieni o możliwym wycieku ich danych. Teraz UODO nałożył karę, która będzie kosztowała instytucję cztery miliony złotych.
Jeden błąd będzie kosztował 4 miliony złotych
Pracownik jednego z popularnych w Polsce banków przesłał dokumenty pewnej grupy klientów do innej instytucji finansowej. W materiałach znajdowały się liczne dane, a wśród nich nazwiska i imiona klienta, data urodzenia, seria i numer PESEL, adres zamieszkania lub pobytu, imiona i nazwiska rodziców, a także numery konta, zarobki, posiadany majątek oraz informacje na temat kredytu czy nieruchomości.
Pomimo, że koperta z zawartością powróciła do banku okazało się, że została otwarta. Wgląd do wrażliwych danych mogły mieć osoby trzecie. Klientów jednak nie poinformowano o tej sytuacji, nie przekazano też możliwych konsekwencji i środków zaradczych oraz metody kontaktu z inspektorem ochrony danych osobowych. Tym samym instytucja finansowa złamała przepisy wynikające z RODO.
mBank zgłosił zaistniałe naruszenie z dnia 30 czerwca 2022 roku do Urzędu Ochrony Danych Osobowych. I choć Prezes UODO poinformował instytucję o konieczności zawiadomienia klientów, ta nie wykonała tej czynności.
Dlaczego mBank nie poinformował klientów?
mBank tłumaczył się urzędowi, że dokumenty zostały mylnie skierowane do podmiotu zaufanego, w której również obowiązuje tajemnica bankowa. Co więcej, pracownicy drugiej instytucji potwierdzili, iż kopia dokumentów nie została wykonana. To jednak UODO nie wystarczyło.
Jak zaznaczono w decyzji, ujawnienie tak dużej ilości danych na temat osób, których one nie dotyczą jest powiązane z ryzykiem. Urząd stwierdził, iż instytucja finansowa zlekceważyła prawa klientów. UODO wspomniał, że kara jest łagodna, bo wynosi 4053173 złote, a według przepisów RODO mogłaby sięgać do 337 milionów złotych.
Dodatkowo bank został zobowiązany do zawiadomienia osób, których dotyczyło naruszenie danych, w ciągu 7 dni od doręczenia decyzji. Informacja przesyłana do klientów ma zawierać opis charakteru naruszenia, imię, nazwisko oraz metodę kontaktowania się z inspektorem ochrony danych osobowych, opis ewentualnych konsekwencji i środków zaradczych.
Aktualizacja w oparciu o publikację stanowiska mBanku:
mBank zabrał głos w tej sprawie. Instytucja finansowa przekazała informację, iż nie zgadza się z decyzją Prezesa UODO oraz ma zamiar się odwołać do Wojewódzkiego Sądu Administracyjnego w Warszawie. Jak wynika z publikacji, podwykonawca mBanku przekazał koperty trzech klientów do innego banku, z którym również prowadził współpracę. Po stwierdzeniu pomyłki dokumenty wróciły w ręce mBanku.