Kara UODO dla kolejnego banku za niezgłoszenie naruszenia ochrony danych

Na zgłoszenie naruszenia ochrony danych do Prezesa UODO administrator ma 72 godziny po wykryciu naruszenia. Przy czym zgłoszenie nie jest wymagane, gdy jest mało prawdopodobne, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przekroczenie 72-godzinnego terminu jest wprawdzie możliwe, ale wymaga wyjaśnienia przyczyn opóźnienia. Termin ten jest traktowany przez Prezesa Urzędu Ochrony Danych Osobowych niezwykle poważnie, czego wyrazem są liczne kary za spóźnione zgłoszenie naruszenia ochrony danych. Karę taką wymierzono też jednemu z banków, a mianowicie Toyota Bank Polska S.A.

Administrator ten wprawdzie dokonał zgłoszenia naruszenia ochrony danych, ale dopiero po upływie 1,5 roku od dnia zdarzenia, gdy do banku zwrócił się organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem. Sam incydent polegał na wysyłce przez bank danych osoby do niewłaściwego odbiorcy. W konsekwencji nieuprawniona osoba uzyskała dostęp do licznych danych osobowych zawartych w korespondencji. Bank uznał początkowo, że ryzyko nie jest na tyle duże, by uzasadniało to zgłoszenie naruszenia ochrony danych do Prezesa UODO.

Co istotne, w tego typu przypadkach administrator zwykle nie jest w stanie wykluczyć, że dostęp do danych uzyskało więcej osób. Dlatego nie może oprzeć się na deklaracji osoby, która otrzymała omyłkową korespondencję, że nie kopiowała ona żadnych danych. Takie oświadczenie w żaden sposób nie minimalizuje ryzyka naruszenia praw i wolności podmiotów danych. Dlatego w ocenie organu nadzorczego ryzyko zostało ocenione nieprawidłowo, a zgłoszenie naruszenia ochrony danych było zdecydowanie spóźnione.

• Decyzja Prezesa UODO z 12 marca 2024 r. DKN.5131.28.2023