Kolejny bank z karą UODO za niezgłoszenie naruszenia ochrony danych. Tym razem administracyjną karę pieniężną w wysokości 78 tys. zł wymierzono Toyota Bank Polska S.A. Bank wprawdzie zgłosił naruszenie, ale ze znacznym opóźnieniem.
Na zgłoszenie naruszenia ochrony danych do Prezesa UODO administrator ma 72 godziny po wykryciu naruszenia. Przy czym zgłoszenie nie jest wymagane, gdy jest mało prawdopodobne, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Przekroczenie 72-godzinnego terminu jest wprawdzie możliwe, ale wymaga wyjaśnienia przyczyn opóźnienia. Termin ten jest traktowany przez Prezesa Urzędu Ochrony Danych Osobowych niezwykle poważnie, czego wyrazem są liczne kary za spóźnione zgłoszenie naruszenia ochrony danych. Karę taką wymierzono też jednemu z banków, a mianowicie Toyota Bank Polska S.A.
Administrator ten wprawdzie dokonał zgłoszenia naruszenia ochrony danych, ale dopiero po upływie 1,5 roku od dnia zdarzenia, gdy do banku zwrócił się organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem. Sam incydent polegał na wysyłce przez bank danych osoby do niewłaściwego odbiorcy. W konsekwencji nieuprawniona osoba uzyskała dostęp do licznych danych osobowych zawartych w korespondencji. Bank uznał początkowo, że ryzyko nie jest na tyle duże, by uzasadniało to zgłoszenie naruszenia ochrony danych do Prezesa UODO.
W ocenie Prezesa UODO ujawnienie cudzych danych osobowych w korespondencji rodzi wysokie ryzyko dla praw i wolności osób fizycznych, w szczególności ryzyko kradzieży tożsamości.
Co istotne, w tego typu przypadkach administrator zwykle nie jest w stanie wykluczyć, że dostęp do danych uzyskało więcej osób. Dlatego nie może oprzeć się na deklaracji osoby, która otrzymała omyłkową korespondencję, że nie kopiowała ona żadnych danych. Takie oświadczenie w żaden sposób nie minimalizuje ryzyka naruszenia praw i wolności podmiotów danych. Dlatego w ocenie organu nadzorczego ryzyko zostało ocenione nieprawidłowo, a zgłoszenie naruszenia ochrony danych było zdecydowanie spóźnione.
Decyzja Prezesa UODO z 12 marca 2024 r. DKN.5131.28.2023
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl