Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
Brak zgłoszenia naruszenia ochrony danych był przyczyną nałożenia wysokiej kary pieniężnej przez Prezesa UODO na Santander Bank Polska S.A. Kara jest konsekwencją niezgłoszenia naruszenia ochrony danych polegającego na kradzieży przesyłki zawieranej dane osobowe. Decyzja UODO jest oczywiście nieprawomocna.
Skradziona korespondencja banku z danymi osobowymi
Naruszenie ochrony danych w przypadku Santander Bank Polska polegało na niezgłoszeniu naruszenia ochrony danych w postaci upublicznienia dokumentów bankowych. Dokumenty te zostały skradzione firmie kurierskiej i odnalazły się w porzuconej przesyłce. W korespondencji znajdowały się takie dane osobowe i inne informacje jak:
-
imiona i nazwiska,
-
daty urodzenia,
-
numery rachunków bankowych,
-
dane adresowe i kontaktowe,
-
numery PESEL,
-
seria i numery dowodu osobistego,
-
nazwy użytkowników i hasła do banku,
-
dane o zarobkach,
-
informacje o produktach bankowych.
Mimo tego wycieku danych bank nie zgłosił naruszenia, argumentując to odnalezieniem przesyłki w krótkim czasie po jej kradzieży. W przesyłce nie brakowało żadnych dokumentów, zaś osoba, która ją odnalazła, przekazała bezpośrednio na posterunek policji oraz oświadczyła, że ich nie skopiowała.
Bank niewłaściwie ocenił naruszenie ochrony danych
Z argumentacją banku nie zgodził się jednak Prezes UODO, który nałożył na administratora karę pieniężną w wysokości 1 440 549 zł i nakazał zawiadomienie podmiotów danych o incydencie. Zdaniem organu nadzorczego bank dokonał nieprawidłowej oceny ryzyka naruszenia praw lub wolności osoby fizycznej. Wziął bowiem pod uwagę perspektywą administratora a nie podmiotów danych.
Ocena naruszenia ochrony danych powinna być bowiem dokonana przez pryzmat osoby zagrożonej, a nie interesów administratora.
Nie wiadomo, kto miał dostęp do danych osobowych w korespondencji banku
Oceniając naruszenie ochrony danych pod kątem ewentualnego zawiadomienia osób fizycznych, administrator powinien brać pod uwagę, że ewentualny brak zawiadomienia o tym naruszeniu pozbawia podmioty danych możliwości odpowiedniej reakcji i samodzielnej oceny zagrożenia. Z kolei niezgłoszenie naruszenia Prezesowi UODO uniemożliwiło organowi nadzorczemu dokonanie oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, jak również adekwatności środków w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla podmiotów danych.
Jak wskazał Prezes UODO, bank nie mógł mieć pewności co do kwestii, ile osób mogło uzyskać dostęp do danych osobowych w zgubionej korespondencji. Oświadczenie osoby, która znalazła przesyłkę nie mogło być bowiem zweryfikowane.
To nie pierwsza kara UODO dla Santander Bank Polska
Warto wspomnieć, że nie było to pierwsze naruszenie przypisane bankowi Santander. Administrator ten został już ukarany za niezawiadomienie podmiotów danych o naruszeniu. O kulisach tej decyzji przeczytasz w artykule: Ponad pół miliona zł kary dla Santander Bank Polska
-
Decyzja Prezesa UODO z 12 marca 2022 r. DKN.5131.59.2022
- Zgoda marketingowa – czy także od firmy lub instytucji
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- System zabezpieczeń przed smishingiem już działa
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Kara UODO dla kolejnego banku za niezgłoszenie naruszenia ochrony danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
