sobota, 5 kwietnia, 2025

UODO karze banki za brak zgłoszenia naruszeń ochrony danych

Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych. Podobnie Toyota Bank Polska S.A. został ukarany za brak zgłoszenia naruszenia ochrony danych osobowych.

Prezes UODO o naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. dowiedział się z mediów. Polegało ono na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym jak została ona wcześniej skradziona firmie kurierskiej. W przesyłce były m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych. Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów.

Prezes UODO w swojej decyzji wskazał jednak, że w przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Zaznaczył przy tym, że brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Prezes UODO w toku postępowania uznał też, że bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę. Ponadto administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki. Sam fakt kradzieży przesyłki powinien wpłynąć na właściwą i adekwatną do okoliczności ocenę tego incydentu, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora. Prezes UODO, decyzją z dnia 19 stycznia 2022 r. (sygn. DKN.5131.33.2021) z uwagi na naruszenie obowiązku wynikającego z art. 34 ust. 1 RODO tj. obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości 545 tys. zł.

Oprócz wspomnianej kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.

Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości). W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

Autor/źródło
Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane do konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Popularne w tym tygodniu

RPP pod presją danych i globalnych trendów – czy obniżka stóp nadejdzie wcześniej niż sądzimy?

Przed nami kolejne już posiedzenie Rady Polityki Pieniężnej. Choć...

Cyberatak na Platformę Obywatelską. W tle zagrożenie ze strony Rosji?

Premier RP, Donald Tusk poinformował 2 kwietnia br. o...

PDF-y ulubioną bronią cyberprzestępców

Pliki PDF stały się najpopularniejszym sposobem na przekazywanie i...

Opodatkowanie stakingu kryptowalut w Polsce – chaos interpretacyjny i orzeczniczy

Wraz z rozwojem technologii blockchain i rosnącą popularnością kryptowalut,...

Cyberatak na PO. Mail od lokalnego działacza jako narzędzie ataku

Jeśli potwierdzą się nieoficjalne informacje Radia Zet, że do...

Podobne tematy

Marek Tatała o nowych propozycjach zespołu deregulacyjnego Rafała Brzoski

Komentarz Marka Tatały, prezesa Fundacji Wolności Gospodarczej, do siódmego...

Rozbieżność w orzeczeniach sądów administracyjnych ws. stosowania RODO w IPN. Sprawę rozstrzygnie NSA

W ostatnim czasie pojawiła się istotna rozbieżność w orzecznictwie...

Inicjatywa SprawdzaMY – siódma tura pomysłów wybrana do analiz przez Zespoły Eksperckie

SprawdzaMY – Inicjatywa Przedsiębiorcy dla Polski zaprezentowała siódmą turę...

Prezes UODO zawiadamia prokuraturę o nielegalnym przetwarzaniu danych osobowych znanych osób publicznych

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, złożył...

75 tys. zł kary dla Komendanta Policji za naruszenie RODO

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył...

UODO apeluje o zmiany w przepisach dotyczących numerów ksiąg wieczystych

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, skierował...

Większość używanych aut hybrydowych w Polsce ma ponad 3 lata, prawie co 2. to Toyota

Statystyczne używane auto z napędem hybrydowym w Polsce ma...

Może Cię zainteresować

Polecane kategorie