Wysoka kara dla Banku Millenium S.A. za niezawiadomienie o naruszeniu ochrony danych
Ponad 363 tys. zł – w takiej wysokości Prezes UODO nałożył karę pieniężną dla Banku Millenium S.A. To wynik niezawiadomienia o naruszeniu ochrony danych osób, których te dane dotyczą. W ocenie organu nadzorczego bank niewłaściwie ocenił przesłanki takiego zawiadomienia.
Na czym polegał wyciek danych
Sprawa trafiła do organu nadzorczego w efekcie skargi na Bank Millenium S.A. Z treści skargi wynikało, że firma kurierska współpracująca z bankiem zgubiła korespondencję z danymi osobowymi:
-
imieniem i nazwiskiem,
-
numerem PESEL,
-
adresem zameldowania,
-
numerem rachunków bankowych,
-
numerem identyfikacyjnym nadawanym klientom banku.
Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie. Z tego względu nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku powiadomienia podmiotów danych.
Jakich uchybień dopuścił się bank
Jak podkreślił Prezes UODO, do organu nadzorczego należy zgłaszać te zdarzenia, w przypadku których istnieje wyższe niż małe prawdopodobieństwo niekorzystnego wpływu na prawa i wolności podmiotów danych. Natomiast gdy to ryzyko jest wysokie, wówczas należy zawiadomić w odpowiednim zakresie również osoby, których dane dotyczą.
Jako przykłady wysokiego ryzyka Prezes UODO podaje np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Wskazuje również, że istotne znaczenie przy ocenie poziomu ryzyka ma zakres danych objętych naruszeniem.
Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje.
Decydujące jest tu wystąpienie ryzyka szkodliwego wpływu na prawa podmiotów danych a nie zaistnienie tego wpływu. Nie jest więc tak, że zawiadomienia podmiotów danych należy dokonać dopiero w przypadku, gdy ich dane trafiły do osób nieuprawnionych.
Orzecznictwo:
-
decyzja Prezesa UODO z 14 października 2021 r. (DKN.5131.16.2021).
-
Strona internetowa UODO (uodo.gov.pl)
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Postępowanie z ryzykiem dla danych osobowych w związku z wdrożeniem sztucznej inteligencji AI
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- System zabezpieczeń przed smishingiem już działa
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
