Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na mBank karę w wysokości ponad 4 milionów złotych za naruszenie przepisów RODO w związku z wyciekiem danych osobowych klientów. Decyzja UODO wynika z niezawiadomienia poszkodowanych o incydencie, który miał miejsce 30 czerwca 2022 roku, gdy dokumenty zawierające wrażliwe dane klientów banku trafiły do nieuprawnionego odbiorcy.
W wyniku pomyłki pracownika firmy, która przetwarza dane na zlecenie mBanku, dokumenty zostały przesłane do innej instytucji finansowej. Mimo że dokumenty zostały zwrócone do banku, istnieje ryzyko, że osoby trzecie miały do nich dostęp, gdyż koperta była otwarta. Wśród ujawnionych danych znalazły się m.in. imiona, nazwiska, PESEL, numery dowodów osobistych, a także dane dotyczące dochodów, posiadanego majątku oraz inne informacje związane z kredytami.
Zgodnie z przepisami RODO, w takich sytuacjach bank powinien niezwłocznie poinformować osoby poszkodowane o zdarzeniu, przedstawiając im potencjalne konsekwencje naruszenia oraz środki zaradcze. mBank jednak nie spełnił tego obowiązku, uzasadniając, że dokumenty trafiły do instytucji, którą sam uznaje za zaufaną i objętą tajemnicą bankową. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii błędnie przesłanych dokumentów, co według mBanku wykluczało konieczność powiadomienia klientów.
Prezes UODO odrzucił tę argumentację, stwierdzając, że status zaufanego odbiorcy nie był wystarczający do zaniechania zawiadomienia osób, których dane zostały ujawnione. W swojej decyzji Prezes UODO podkreślił, że istotą problemu było potencjalne zagrożenie dla prywatności klientów, a nie jedynie fakt, kto miał dostęp do danych. Bank powinien był wziąć pod uwagę również prawa osób, których dane dotyczą, i umożliwić im podjęcie odpowiednich działań, aby zminimalizować ryzyko ewentualnych negatywnych konsekwencji.
Zdaniem Prezesa UODO, brak zawiadomienia osób poszkodowanych stanowi przykład lekceważenia ich praw i ochrony danych osobowych. Choć kara nałożona na mBank w wysokości 4 milionów złotych może wydawać się wysoka, to zgodnie z przepisami RODO mogła ona wynieść nawet 337 milionów złotych, co czyni ją stosunkowo łagodną.