Karę w wysokości 4 mln zł za naruszenie ochrony danych musi zapłacić mBank. Jest to konsekwencja braku zawiadomienia poszkodowanych o dużym wycieku danych. Prezes UODO uznał, że zaniechanie banku wygenerowało poważne zagrożenie dla klientów.
Opracowanie: Michał Kowalski
30 czerwca 2022 r. doszło do nieuprawnionego przekazania danych osobowych grupy klientów mBanku innemu podmiotowi. W efekcie dostęp do tych danych mógł uzyskać nieuprawniony odbiorca.
Prawdopodobnemu wyciekowi uległy następujące dane osobowe klientów:
nazwiska i imiona,
imiona rodziców,
daty urodzenia,
numer rachunku bankowego,
adres zamieszkania lub pobytu,
numer PESEL,
dane dotyczące zarobków lub posiadanego majątku,
nazwisko rodowe matki,
seria i numer dowodu osobistego,
informacje dotyczące kredytu i nieruchomości.
Zakres ujawnionych danych był więc bardzo szeroki.
Możliwy wyciek był wynikiem pomyłki pracownika firmy przetwarzającej dane osobowe jako procesor względem banku. Dokumenty z danymi osobowymi klientów trafiły do innej instytucji finansowej. Wprawdzie dokumenty te zostały zwrócone do banku, ale – jak ustalono – doszło najpierw do otwarcia koperty.
Na tej podstawie rozpoznający sprawę Prezes Urzędu Ochrony Danych Osobowych uznał, że dostęp do danych osobowych w korespondencji mogły uzyskać nieuprawnione osoby. mBank jako administrator danych osobowych nie wykluczył ryzyka uzyskania takiego dostępu.
Mimo istnienia takiego ryzyka bank zrezygnował z zawiadomienia poszkodowanych o naruszeniu ochrony danych. Bank nie przedstawił im też możliwych konsekwencji incydentu i propozycji środków zaradczych, nie podał też kontaktu do inspektora ochrony danych. Czynność ta nie została wykonana mimo zaleceń ze strony Prezesa UODO po zgłoszeniu do niego naruszenia ochrony danych.
W ocenie banku nie zaszły przesłanki zawiadomienia podmiotów danych o naruszeniu. mBank powołał się tu na tajemnicę bankową, wskazując, że była nią objęta także instytucja finansowa, do której trafiły dane osobowe. Bank podkreślił także, że instytucja ta ma status podmiotu zaufanego, a jej pracownicy oświadczyli, że nie są w posiadaniu kopii otrzymanych dokumentów.
Ze stanowiskiem tym nie zgodził się organ nadzorczy. Prezes UODO wskazał, że w ocenie ryzyka naruszenia praw i wolności osób fizycznych znaczenia nie ma status odbiorcy danych. Istotny natomiast także fakt stałej współpracy pomiędzy mBankiem a tą instytucją.
Za odbiorcę zaufanego w rozumieniu Wytycznych Grupy Roboczej Art. 29 nr 9/2022 uznawany jest podmiot pozostający w długotrwałej relacji z administratorem danych osobowych, co przekłada się na „znajomość przez administratora procedur, historii i innych istotnych szczegółów dotyczących odbiorcy, pozwalającą administratorowi racjonalnie oczekiwać, że nieuprawniony odbiorca nie będzie starał się odczytać lub uzyskać dostępu do błędnie przesłanej mu korespondencji zawierającej dane osobowe, a jeśli nawet do dostępu do błędnie przesłanych danych osobowych dojdzie, to odbiorca ten nie podejmie żadnych dalszych działań i niezwłocznie zwróci dane osobowe administratorowi” (str. 25-26 Wytycznych).
Na tej podstawie Prezes UODO uznał, że istniało bardzo wysokie ryzyko naruszenia praw i wolności osób fizycznych. Brak zawiadomienia o naruszenia pozbawił te osoby możliwości przeciwdziałania ewentualnym negatywnym skutkom naruszenia.
Dlaczego bankowi wymierzono tak wysoką karę (dokładnie 4 053 173 zł)? Otóż Prezes UODO wskazał, że w kontekście obrotów mBanku kara ta jest stosunkowo nieska, ponieważ stanowi jedynie 0,024% obrotów banku. Jednocześnie organ nadzorczy w wymiarze kary wziął pod uwagę wspomniane wysokie ryzyko naruszenia praw i wolności osób fizycznych. Zarzucił bankowi, że uchybienie świadczy o lekceważeniu praw podmiotów danych i „jest przejawem systemowej postawy (polityki) Banku”. Krytyce poddano założenie z góry, że współpracująca z bankiem instytucja jest zaufanym odbiorcą, a także brak zmiany stanowiska banku mimo zaleceń organu nadzorczego.
Decyzja Prezesa UODO jest nieprawomocna.
decyzja Prezesa UODO z 20 sierpnia 2024 r. DKN.5131.1.2024
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
