Na osiedlowym śmietniku znaleziono dokumenty klientów, po tym jak wcześniej zostały skradzione jednej z firm kurierskich. Prezes UODO miał dowiedzieć się o sprawie z mediów, a banki nie złożyły zawiadomienia o naruszeniu danych klientów. To właśnie brak odpowiedniego zgłoszenia o wycieku danych sprawił, że Santander i Toyota Bank muszą mierzyć się z tak wysokimi karami finansowymi.
UODO: Wyciek danych z banków. Dokumenty znaleziono na śmietniku
W skradzionej przesyłce znajdowały się między innymi: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku czy dane o zarobkach, seria i numery dowodu osobistego. Według UODO administrator danych tłumaczył, że nie zgłosił naruszenia, ponieważ "przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera".
Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów
- poinformowano w komunikacie. UODO wyjaśnia jednak, że w przypadku wystąpienia tego typu naruszeń, należy kierować się dobrem klienta, a nie własnym.
W przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora
- dodano. Co więcej, brak odpowiedniego zgłoszenia pozbawia osoby dotknięte naruszeniem nie tylko możliwości odpowiedniej reakcji, ale również możliwości dokonania samodzielnej oceny naruszania, a te mogą nieść za sobą poważne konsekwencje. Ma to również znaczenie dla UODO, ponieważ organ nadzorczy także nie ma możliwości odpowiedniej reakcji na naruszenie oraz oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej.
Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia
- oceniono.
Prezes UODO ukarał Santander Bank Polska i Toyota Bank. Jeden z nich nie zgadza się z decyzją
W związku z zaistniałą sytuacją prezes UODO podjął decyzję o nałożeniu kary na Santander Bank Polska w wysokości 1 mln 440 tys. złotych za brak zgłoszenia naruszenia ochrony danych.
Oprócz wspomnianej kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji
- informuje UODO. Przypomniano również, że nie jest to pierwsza kara dla tego administratora. W 2022 roku na bank została nałożona kara w wysokości ponad 0,5 mln złotych, która również miała związek z naruszeniem dotyczącym ochrony danych osobowych klientów. Jarosław Dobosz, Inspektor Ochrony Danych w Santander Bank Polska, poinformował natomiast, że bank "nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego".
(...) zostały dopełnione wszystkie procedury związane z naruszeniem ochrony danych i tego stanowiska będzie bronił przed sądem
- wyjaśnił, cytowany przez TVN24. W tym samym komunikacie prasowym UODO poinformowano również o karze nałożonej na Toyota Bank Polska, która wyniosła 78 tys. złotych. Wynika z niezgłoszenia prezesowi UODO naruszenia ochrony danych osobowych "bez zbędnej zwłoki, nie później niż w terminie 72 godzin" po jego stwierdzeniu.
Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem
- czytamy w komunikacie.
