4 mln zł kary UODO dla mBanku za brak zawiadomienia podmiotów danych o naruszeniu
Karę w wysokości 4 mln zł za naruszenie ochrony danych musi zapłacić mBank. Jest to konsekwencja braku zawiadomienia poszkodowanych o dużym wycieku danych. Prezes UODO uznał, że zaniechanie banku wygenerowało poważne zagrożenie dla klientów.
Opracowanie: Michał Kowalski
Zakres danych osobowych, których dotyczyło naruszenie
30 czerwca 2022 r. doszło do nieuprawnionego przekazania danych osobowych grupy klientów mBanku innemu podmiotowi. W efekcie dostęp do tych danych mógł uzyskać nieuprawniony odbiorca.
Prawdopodobnemu wyciekowi uległy następujące dane osobowe klientów:
-
nazwiska i imiona,
-
imiona rodziców,
-
daty urodzenia,
-
numer rachunku bankowego,
-
adres zamieszkania lub pobytu,
-
numer PESEL,
-
dane dotyczące zarobków lub posiadanego majątku,
-
nazwisko rodowe matki,
-
seria i numer dowodu osobistego,
-
informacje dotyczące kredytu i nieruchomości.
Zakres ujawnionych danych był więc bardzo szeroki.
Dane klientów mBanku trafiły do nieuprawnionej instytucji finansowej
Możliwy wyciek był wynikiem pomyłki pracownika firmy przetwarzającej dane osobowe jako procesor względem banku. Dokumenty z danymi osobowymi klientów trafiły do innej instytucji finansowej. Wprawdzie dokumenty te zostały zwrócone do banku, ale – jak ustalono – doszło najpierw do otwarcia koperty.
Na tej podstawie rozpoznający sprawę Prezes Urzędu Ochrony Danych Osobowych uznał, że dostęp do danych osobowych w korespondencji mogły uzyskać nieuprawnione osoby. mBank jako administrator danych osobowych nie wykluczył ryzyka uzyskania takiego dostępu.
Bank nie zawiadomił podmiotów danych o naruszeniu
Mimo istnienia takiego ryzyka bank zrezygnował z zawiadomienia poszkodowanych o naruszeniu ochrony danych. Bank nie przedstawił im też możliwych konsekwencji incydentu i propozycji środków zaradczych, nie podał też kontaktu do inspektora ochrony danych. Czynność ta nie została wykonana mimo zaleceń ze strony Prezesa UODO po zgłoszeniu do niego naruszenia ochrony danych.
mBank powołał się na tajemnicę bankową i status odbiorcy zaufanego
W ocenie banku nie zaszły przesłanki zawiadomienia podmiotów danych o naruszeniu. mBank powołał się tu na tajemnicę bankową, wskazując, że była nią objęta także instytucja finansowa, do której trafiły dane osobowe. Bank podkreślił także, że instytucja ta ma status podmiotu zaufanego, a jej pracownicy oświadczyli, że nie są w posiadaniu kopii otrzymanych dokumentów.
Ze stanowiskiem tym nie zgodził się organ nadzorczy. Prezes UODO wskazał, że w ocenie ryzyka naruszenia praw i wolności osób fizycznych znaczenia nie ma status odbiorcy danych. Istotny natomiast także fakt stałej współpracy pomiędzy mBankiem a tą instytucją.
Za odbiorcę zaufanego w rozumieniu Wytycznych Grupy Roboczej Art. 29 nr 9/2022 uznawany jest podmiot pozostający w długotrwałej relacji z administratorem danych osobowych, co przekłada się na „znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi” (str. 25-26 Wytycznych).
UODO: bardzo wysokie ryzyko naruszenia praw i wolności osób fizycznych
Na tej podstawie Prezes UODO uznał, że istniało bardzo wysokie ryzyko naruszenia praw i wolności osób fizycznych. Brak zawiadomienia o naruszenia pozbawił te osoby możliwości przeciwdziałania ewentualnym negatywnym skutkom naruszenia.
Kara UODO w wysokości 4 mln zł – czy jest wysoka
Dlaczego bankowi wymierzono tak wysoką karę (dokładnie 4 053 173 zł)? Otóż Prezes UODO wskazał, że w kontekście obrotów mBanku kara ta jest stosunkowo nieska, ponieważ stanowi jedynie 0,024% obrotów banku. Jednocześnie organ nadzorczy w wymiarze kary wziął pod uwagę wspomniane wysokie ryzyko naruszenia praw i wolności osób fizycznych. Zarzucił bankowi, że uchybienie świadczy o lekceważeniu praw podmiotów danych i „jest przejawem systemowej postawy (polityki) Banku”. Krytyce poddano założenie z góry, że współpracująca z bankiem instytucja jest zaufanym odbiorcą, a także brak zmiany stanowiska banku mimo zaleceń organu nadzorczego.
Decyzja Prezesa UODO jest nieprawomocna.
-
decyzja Prezesa UODO z 20 sierpnia 2024 r. DKN.5131.1.2024
- 1,5% podatku na OPP – co z danymi osobowymi darczyńców w zeznaniach podatkowych
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
- Ochrona sygnalistów - dane osobowe w zgłoszeniu naruszenia prawa
- Kara UODO dla Prokuratury Krajowej za naruszenie ochrony danych pokrzywdzonego
- Ochrona sygnalistów – każdy administrator musi zapewnić ochronę danych osobowych sygnalisty
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
