Brak zgłoszenia naruszenia ochrony danych był przyczyną nałożenia wysokiej kary pieniężnej przez Prezesa UODO na Santander Bank Polska S.A. Kara jest konsekwencją niezgłoszenia naruszenia ochrony danych polegającego na kradzieży przesyłki zawieranej dane osobowe. Decyzja UODO jest oczywiście nieprawomocna.
Naruszenie ochrony danych w przypadku Santander Bank Polska polegało na niezgłoszeniu naruszenia ochrony danych w postaci upublicznienia dokumentów bankowych. Dokumenty te zostały skradzione firmie kurierskiej i odnalazły się w porzuconej przesyłce. W korespondencji znajdowały się takie dane osobowe i inne informacje jak:
imiona i nazwiska,
daty urodzenia,
numery rachunków bankowych,
dane adresowe i kontaktowe,
numery PESEL,
seria i numery dowodu osobistego,
nazwy użytkowników i hasła do banku,
dane o zarobkach,
informacje o produktach bankowych.
Mimo tego wycieku danych bank nie zgłosił naruszenia, argumentując to odnalezieniem przesyłki w krótkim czasie po jej kradzieży. W przesyłce nie brakowało żadnych dokumentów, zaś osoba, która ją odnalazła, przekazała bezpośrednio na posterunek policji oraz oświadczyła, że ich nie skopiowała.
Z argumentacją banku nie zgodził się jednak Prezes UODO, który nałożył na administratora karę pieniężną w wysokości 1 440 549 zł i nakazał zawiadomienie podmiotów danych o incydencie. Zdaniem organu nadzorczego bank dokonał nieprawidłowej oceny ryzyka naruszenia praw lub wolności osoby fizycznej. Wziął bowiem pod uwagę perspektywą administratora a nie podmiotów danych.
Ocena naruszenia ochrony danych powinna być bowiem dokonana przez pryzmat osoby zagrożonej, a nie interesów administratora.
Oceniając naruszenie ochrony danych pod kątem ewentualnego zawiadomienia osób fizycznych, administrator powinien brać pod uwagę, że ewentualny brak zawiadomienia o tym naruszeniu pozbawia podmioty danych możliwości odpowiedniej reakcji i samodzielnej oceny zagrożenia. Z kolei niezgłoszenie naruszenia Prezesowi UODO uniemożliwiło organowi nadzorczemu dokonanie oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, jak również adekwatności środków w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla podmiotów danych.
Jak wskazał Prezes UODO, bank nie mógł mieć pewności co do kwestii, ile osób mogło uzyskać dostęp do danych osobowych w zgubionej korespondencji. Oświadczenie osoby, która znalazła przesyłkę nie mogło być bowiem zweryfikowane.
Warto wspomnieć, że nie było to pierwsze naruszenie przypisane bankowi Santander. Administrator ten został już ukarany za niezawiadomienie podmiotów danych o naruszeniu. O kulisach tej decyzji przeczytasz w artykule: Ponad pół miliona zł kary dla Santander Bank Polska
Decyzja Prezesa UODO z 12 marca 2022 r. DKN.5131.59.2022
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl