Wyciek z Getin Banku. Przesyłka z danymi klientów trafiła pod zły adres

Jeden z klientów Getin Banku poinformował na portalu wykop.pl o otrzymaniu przesyłki zawierającej dane innych klientów, ich adresy, a nawet numery umów kredytowych. Na potwierdzenie swoich słów do wpisu dołączył zdjęcie kopert i dokumentów, które przed publikacją odpowiednio ocenzurował.

- Dostałem paczkę z masą listów poleconych, danymi ludzi, numerami umów kredytowych, adresami itd. Co robić? - pytał użytkownik.

Informację o wycieku dokumentów potwierdził już Getin Bank, przyznając, że przesyłka wewnętrzna trafiła pod zły adres w wyniku błędu ludzkiego. Rzecznik prasowy Artur Newecki zapewnił również, że zdarzenie miało charakter jednostkowy, a dokumenty są już w placówce.

- W wyniku błędu ludzkiego przesyłka wewnętrzna zawierająca dane blisko 40 klientów posiadających w naszym banku kredyty hipoteczne trafiła do niewłaściwego odbiorcy. Zdarzenie to miało charakter jednostkowy, a przesyłka wraz z danymi została już zabezpieczona w banku. Chciałbym zapewnić, że bank podjął już niezbędne działania, których celem jest wyeliminowanie tego typu incydentów w przyszłości. W imieniu banku chciałbym przeprosić naszych klientów za zaistniałą sytuację - przekazał portalowi strefabiznesu.pl Artur Newecki, rzecznik prasowy Getin Noble Bank.

Nie wiadomo natomiast, czy klienci, których dane trafiły w niepowołane ręce, zostali już o tym poinformowani. Warto przypomnieć, że zgodnie z polskim prawem za naruszenie ochrony danych osobowych grozi kara grzywny, a nawet ograniczenia lub pozbawienia wolności do 2 lat.

Urząd Ochrony Danych Osobowych poinformował, że do tej pory nie dotarło zgłoszenie w tej sprawie. Jak wynika z informacji przekazanych portalowi strefabiznesu.pl, administrator ma obowiązek powiadomienia o sprawie osoby, których dane trafiły w niepowołane ręce w przypadku, gdy zakres informacji oprócz imienia i nazwiska obejmuje dane takie, jak m.in. numer PESEL.

- Na tę chwilę do UODO nie wpłynęło zgłoszenie naruszenia w tej sprawie. Pomocniczo wskazuję, że do UODO trzeba zgłaszać wszystkie naruszenia ochrony danych osobowych, gdy w związku z naruszeniem istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje nie tylko imię i nazwisko, ale także nr PESEL - przekazuje nam biuro prasowe UODO.

UODO przypomina również, że zgłoszenia rozpatrywane są w ciągu 72 godzin, a ich celem jest ustalenie, czy "administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości".

- W przypadku poważnych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami. Takimi działaniami może być założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez Internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości - dodaje UODO.