Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na mBank karę w wysokości ponad 4 milionów złotych za niepoinformowanie klientów o naruszeniu bezpieczeństwa ich danych osobowych. Chociaż suma kary może wydawać się duża, stanowi jedynie 0,0024% rocznych obrotów banku.
POLECAMY: Polak obywatelem drugiej kategorii! Podwyższenie opłat bankowych w mBanku nie dotyczy Ukraińców
Co się stało? Błąd w przetwarzaniu danych osobowych
30 czerwca 2022 roku doszło do poważnego incydentu związanego z ochroną danych osobowych klientów mBanku. Pracownik firmy przetwarzającej dane na zlecenie banku przez pomyłkę przesłał dokumenty klientów do innej instytucji finansowej. Choć dokumenty zostały zwrócone do banku, koperta była już wcześniej otwarta. Urząd Ochrony Danych Osobowych zwrócił uwagę, że istnieje możliwość, iż osoby trzecie miały dostęp do tych danych, a tym samym mogły się z nimi zapoznać.
Dane, które trafiły do nieuprawnionego odbiorcy, obejmowały bardzo wrażliwe informacje, takie jak: nazwiska, imiona, imiona rodziców, daty urodzenia, numery rachunków bankowych, adresy zamieszkania, numery PESEL, informacje o zarobkach, nazwiska rodowe matki, serie i numery dowodów osobistych, a także dane dotyczące kredytów i nieruchomości. Tego rodzaju informacje mogą być użyte do wielu form nadużyć, w tym do kradzieży tożsamości.
Bank nie poinformował klientów – dlaczego?
Po zgłoszeniu naruszenia do UODO, mBank został poinformowany o konieczności podjęcia działań mających na celu poinformowanie poszkodowanych klientów o wycieku danych. Bank jednak zdecydował się nie informować klientów, tłumacząc swoje działanie tym, że dokumenty trafiły do instytucji, która również podlega tajemnicy bankowej. mBank uznał, że skoro otrzymujący instytut finansowy to podmiot zaufany, nie ma potrzeby powiadamiania klientów o incydencie.
Pracownicy instytucji, do której przez pomyłkę trafiły dokumenty, zapewnili, że nie wykonano żadnych kopii błędnie przesłanych materiałów. Bank uznał, że to wystarczający powód, by nie ujawniać sprawy klientom, opierając się na zapewnieniach otrzymanego podmiotu.
Prezes UODO: „Ogromne ryzyko dla klientów”
Prezes UODO nie zgodził się z argumentacją banku. W ocenie UODO, mBank zlekceważył ryzyko, jakie stwarza dla klientów ujawnienie tak dużej ilości danych. Jak podkreślono w komunikacie, bank skupił się wyłącznie na tym, kto miał dostęp do ujawnionych danych, ignorując obowiązek powiadomienia osób, których dane dotyczą.
Prezes UODO zaznaczył, że zgodnie z Wytycznymi 9/2022, to nie status odbiorcy przesądza o tym, czy można uznać go za „odbiorcę zaufanego”. Istotna jest bezpośrednia i stała relacja między nadawcą a odbiorcą błędnie przesłanych dokumentów. Relacja ta powinna być oparta na długotrwałej współpracy, pozwalającej administratorowi danych racjonalnie oczekiwać, że odbiorca nie będzie próbował uzyskać dostępu do danych osobowych i nie podejmie żadnych dalszych działań w związku z ich otrzymaniem.
Prezes UODO podkreślił również, że „przestrzeganie innych tajemnic prawnie chronionych nie zwalnia ze stosowania RODO”. Oznacza to, że nawet jeśli instytucja, do której trafiły dane, podlega tajemnicy bankowej, bank miał obowiązek powiadomić klientów o naruszeniu, aby umożliwić im podjęcie odpowiednich kroków zapobiegawczych.
Kara mogła być wyższa – nawet 337 milionów złotych
W ocenie UODO, działanie banku stanowi przykład lekceważenia praw osób, których dane były przetwarzane. Mimo że nałożona kara wynosi ponad 4 miliony złotych, mogłaby być znacznie wyższa. Zgodnie z przepisami RODO, maksymalna kara mogłaby wynieść aż 337 milionów złotych, co czyni obecne sankcje stosunkowo łagodnymi.
Decyzja Prezesa UODO jest ostateczna i nie można się od niej odwołać. Jedyną ścieżką dla ukaranego podmiotu jest złożenie skargi do sądu administracyjnego. Pierwszą instancją jest Wojewódzki Sąd Administracyjny w Warszawie, a kolejną Naczelny Sąd Administracyjny.
Podsumowanie
Sprawa mBanku stanowi ważne przypomnienie o konieczności przestrzegania przepisów RODO, zwłaszcza w kontekście informowania osób o naruszeniach ich danych osobowych. Nawet jeśli dane trafią do instytucji objętej tajemnicą zawodową, administrator danych osobowych ma obowiązek chronić interesy osób, których dane dotyczą, a ich prawa powinny być priorytetem.
Warto monitorować dalszy rozwój sytuacji, zwłaszcza w kontekście ewentualnych działań prawnych mBanku w odpowiedzi na decyzję UODO.
