Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył na Santander Bank Polska S.A. karę finansową w wysokości 1 440 000 zł za niezgłoszenie naruszenia ochrony danych. Podobnie Toyota Bank Polska S.A. została ukarana z tego samego powódu.
POLECAMY: Portal Wakacje.pl dostał ponad milion złotych kary
Naruszenie ochrony danych osobowych w Santander Bank Polska S.A. zostało ujawnione poprzez media. Polegało ono na upublicznieniu dokumentów bankowych, które zostały znalezione w porzuconej przesyłce na jednym z osiedli. Przesyłka wcześniej została skradziona przez firmę kurierską. Wśród danych znajdowały się imiona, nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników oraz hasła do banku, dane dotyczące zarobków, seria i numery dowodu osobistego, oraz informacje o produktach bankowych.
Administrator danych tłumaczył, że nie zgłosił tego naruszenia, ponieważ przesyłka została znaleziona przez jedną osobę, która dostarczyła ją na posterunek policji, zapewniając, że nie skopiowała dokumentów. Ustalono także, że w przesyłce nie brakowało żadnych dokumentów.
Prezes UODO zauważył, że bank powinien oceniać ryzyko naruszenia przez pryzmat osób, których dane zostały ujawnione, a nie przez pryzmat własnych interesów, co zostało uznane za ocenę niewłaściwą.
„Brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.” – wyjaśnił Prezes UODO.
Uznał też, że bez znaczenia jest to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę. Poza tym administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki.
To nie jest pierwsze naruszenie ochrony danych, ani też nie jest to jedyny bank, który dopuścił się takiego przewinienia. Organ nadzorczy wskazał, że Santander Bank Polska S.A. ponownie złamał przepisy dotyczące ochrony danych osobowych, co było kolejnym incydentem tego typu. W 2021 roku była pracownica banku poinformowała, że po zakończeniu pracy dla Santander Bank S.A. nie odebrano jej uprawnień dostępu do profilu pracodawcy na Platformie Usług Elektronicznych ZUS, co umożliwiło jej dalszy dostęp do danych przez kolejne 8 miesięcy. W styczniu 2022 roku Santander Bank Polska S.A. został ukarany administracyjną karą pieniężną w wysokości 545 tysięcy złotych (sygn. DKN.5131.33.2021) za naruszenie obowiązku zgłoszenia incydentu osobom, których dane były dotknięte tym zdarzeniem.
Prezes UODO również nałożył karę na Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tysięcy złotych i została nałożona za opóźnienie w zgłoszeniu naruszenia ochrony danych osobowych Prezesowi UODO, które miało zostać dokonane niezwłocznie, nie później niż w ciągu 72 godzin od stwierdzenia incydentu. Administrator zgłosił naruszenie ochrony danych dopiero półtora roku po jego wystąpieniu, dopiero gdy organ nadzorczy zwrócił się do niego po otrzymaniu skargi od poszkodowanej osoby.
Naruszenie polegało na wysłaniu danych osobowych do nieuprawnionego odbiorcy przez bank. Zakres danych zawartych w korespondencji stwarzał wysokie ryzyko naruszenia praw i wolności osoby, której dane zostały ujawnione (np. ryzyko kradzieży tożsamości). W swojej decyzji organ nadzorczy zauważył także, że administrator nie miał pewności, czy nieuprawniony odbiorca nie wykonał kopii danych przed ich zwrotem, lub też nie utrwalił ich w inny sposób, na przykład poprzez spisanie ich treści.
