W ostatnich dniach mBank znalazł się w centrum uwagi z powodu wycieku danych swoich klientów, za co nałożono na instytucję wysoką karę. Choć dla przeciętnego konsumenta kwota 4 milionów złotych może wydawać się ogromna, to w rzeczywistości, w stosunku do obrotów banku, kara jest stosunkowo łagodna. Co stało się w mBanku i dlaczego kara ta wynika z naruszenia przepisów RODO?
Wyciek danych w mBanku – co się wydarzyło?
W czerwcu 2022 roku mBank doświadczył wycieku danych osobowych swoich klientów. Jak wyjaśnia Urząd Ochrony Danych Osobowych (UODO), incydent miał miejsce, gdy pracownik firmy przetwarzającej dane na zlecenie banku omyłkowo przesłał dokumenty klientów do innej instytucji finansowej. Choć dokumenty zostały zwrócone do banku, koperta została otwarta, co oznacza, że osoby trzecie mogły mieć wgląd do danych.
Wśród danych, które wyciekły, znalazły się takie informacje jak numery PESEL, seria i numer dowodu osobistego oraz dane dotyczące zarobków. Problemem w tej sytuacji było nie tylko sam wyciek, ale również to, że mBank nie poinformował o incydencie swoich klientów, mimo iż takie działanie jest obowiązkiem wynikającym z przepisów RODO.
Dlaczego UODO nałożył karę?
Zgodnie z przepisami RODO, instytucje, które doświadczają wycieku danych osobowych, muszą niezwłocznie poinformować o tym fakcie osoby poszkodowane. Bank zobowiązany był do poinformowania klientów o wycieku, jego konsekwencjach oraz do przekazania kontaktu do inspektora ochrony danych osobowych.
mBank argumentował, że nie było potrzeby powiadamiania klientów, ponieważ dane osobowe trafiły do innej instytucji finansowej, która również zobowiązana jest do przestrzegania tajemnicy bankowej. Dodatkowo pracownicy tej instytucji potwierdzili, że nie posiadają kopii omyłkowo przesłanych dokumentów. Prezes UODO uznał jednak, że takie podejście banku było niewystarczające, a obowiązek poinformowania klientów powinien zostać spełniony.
Kara 4 miliony złotych – łagodna czy surowa?
Kara nałożona na mBank wyniosła 4 miliony złotych, co dla wielu może wydawać się ogromną kwotą. Warto jednak zauważyć, że zgodnie z przepisami RODO kara mogła być znacznie wyższa – teoretycznie mogła wynieść nawet 337 milionów złotych, co stanowiłoby 4% globalnych obrotów banku. W tym kontekście nałożona kara jest stosunkowo łagodna i ma raczej charakter ostrzeżenia niż rzeczywistego uderzenia w finanse banku.
Prezes UODO podkreślił, że działanie banku, który nie dopełnił obowiązku informacyjnego wobec swoich klientów, narusza prawa osób, których dane zostały przetworzone. Brak powiadomienia może narazić poszkodowanych na potencjalne ryzyko, takie jak kradzież tożsamości czy inne formy oszustw.
Co dalej z mBankiem?
Choć mBank musi zapłacić nałożoną karę, od decyzji UODO nie można się odwołać, można jednak skierować sprawę do sądu administracyjnego. Bank zapowiedział, że dokładnie przeanalizuje nałożoną karę i podejmie odpowiednie kroki w przyszłości, aby uniknąć podobnych incydentów. Z pewnością dla klientów banku istotne będzie, aby tego typu sytuacje były rzadkością i aby bank odpowiednio zabezpieczał ich dane osobowe.
Wnioski dla innych instytucji
Przypadek mBanku to ważna lekcja dla wszystkich instytucji, które przetwarzają dane osobowe. Naruszenia RODO mogą prowadzić do poważnych konsekwencji finansowych, ale również do utraty zaufania klientów. W dzisiejszych czasach, gdy ochrona danych osobowych jest priorytetem, każda firma powinna przykładać dużą wagę do bezpieczeństwa przetwarzanych danych oraz do przestrzegania obowiązujących przepisów.
