Spis treści
Wyciek danych nie został zgłoszony
W ostatnim czasie mBank stanął przed poważnym problemem – doszło do wycieku danych osobowych grupy klientów. Zdarzenie to miało miejsce 30 czerwca 2022 roku, kiedy to dane trafiły do nieuprawnionego odbiorcy. Zgodnie z obowiązującymi przepisami RODO, w takiej sytuacji instytucja finansowa powinna niezwłocznie poinformować poszkodowanych o zaistniałym incydencie, przedstawić możliwe konsekwencje oraz zasugerować środki zaradcze. Dodatkowo, konieczne jest udostępnienie kontaktu do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji na temat naruszenia.
Zgłoszenie do UODO ujawniło, że doszło do błędu pracownika firmy przetwarzającej dane na zlecenie mBanku. Dokumenty, zawierające wrażliwe informacje, takie jak nazwiska, daty urodzenia, numery PESEL, dane finansowe, zostały omyłkowo przesłane do innej instytucji finansowej. Mimo że dokumenty wróciły do banku, istnieje podejrzenie, że mogły być wcześniej przeglądane przez nieuprawnione osoby.
Brak komunikacji z klientami
Mimo świadomości naruszenia, mBank nie podjął kroków, aby poinformować o nim swoich klientów. Urząd po zgłoszeniu naruszenia zwrócił się do banku z zaleceniem poinformowania poszkodowanych. W odpowiedzi, mBank argumentował, że dokumenty trafiły do instytucji, która również podlega tajemnicy bankowej i jest traktowana jako podmiot zaufany. Bank opierał się na zapewnieniach otrzymanych od pracowników tej instytucji, którzy stwierdzili, iż nie posiadają kopii dokumentów.
Stanowisko UODO
Prezes UODO nie zaakceptował argumentacji mBanku dotyczącej tzw. odbiorcy zaufanego. Zaznaczono, że ważna jest nie tylko długotrwała relacja z odbiorcą, ale również znajomość procedur i innych istotnych szczegółów, które pozwalają na racjonalne oczekiwanie, iż nieuprawniony odbiorca nie będzie próbował uzyskać dostępu do danych. W ocenie UODO, bank nie wziął pod uwagę praw osób, których dane zostały naruszone, skupiając się jedynie na zapewnieniach otrzymanych od instytucji, do której trafiły dokumenty. Podkreślono, że przestrzeganie tajemnicy bankowej nie zwalnia z obowiązków wynikających z RODO.
W konsekwencji, UODO uznał, że działanie mBanku jest przykładem lekceważenia praw osób, których dane są przetwarzane. Kary finansowe, jakie mogłyby zostać nałożone, sięgają 337 milionów złotych, jednak w tym przypadku zdecydowano się na kwotę ponad 4 miliony złotych. Zdaniem UODO, zachowanie banku wskazuje na systemową postawę nieinformowania osób o naruszeniach, co spotkało się z negatywną oceną urzędu.
Jesteśmy na Google News. Dołącz do nas i śledź Strefę Biznesu codziennie. Obserwuj StrefaBiznesu.pl!
Źródło: