Biznes i Finanse
Bank Millennium zapłaci karę. Jednoznaczna decyzja UODO
Urząd Ochrony Danych Osobowych nałożył na Bank Millennium S.A karę w wysokości ponad 363 tys. zł za naruszenie obowiązujących przepisów RODO. „Obowiązek zawiadomienia osoby fizycznej o naruszeniu ochrony danych osobowych nie jest uzależniony od zaistnienia negatywnych konsekwencji dla takiej osoby, ale od samej możliwości ich wystąpienia” - tłumaczy UODO.
Jak podkreślono w oficjalnym komunikacie do sprawy, o naruszeniu ochrony danych Urząd Ochrony Danych Osobowych (UODO) dowiedział się ze skargi, jaka wpłynęła na Bank Millennium S.A. Wskazano w niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.
„Skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO. W toku sprawy okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą” - opisuje sprawę UODO.
Jednak zgodnie z obowiązującymi przepisami do Urzędu trzeba zgłaszać incydenty, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. W momencie, gdy to ryzyko jest wysokie (np. kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia), o sprawie trzeba także powiadomić osoby, których dane dotyczą. Jak tłumaczy UODO, szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje.
„UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby. Co ważne, UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko. Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie” - czytamy w komunikacie. Warto podkreślić, że w przypadku omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO.
„UODO decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia” - tłumaczy Urząd.
Wysokość kary ma pełnić funkcję represyjną.
Bank Millennium odpowiada
W przesłanym naszej redakcji oświadczeniu, instytucja wskazuje, że otrzymała informację o decyzji Prezesa UODO z dnia 14.10.2021 r. w kwestii ochrony danych osobowych w Banku Millennium. Jak tłumaczy - tu cytat: „sprawa jest incydentalna i nie dotyczy bezpieczeństwa przetwarzania danych, a uchybienia formalnego obowiązku”.
Bank Millennium deklaruje, że złoży skargę do Wojewódzkiego Sądu Administracyjnego, ponieważ jego zdaniem postępowanie odbyło się zgodnie z obowiązującymi przepisami. W oświadczeniu dla naszej redakcji czytamy: „Bank poważnie traktuje wszelkie wytyczne i stanowiska organu, niemniej zostanie w tej sprawie złożona skarga do Wojewódzkiego Sądu Administracyjnego, ponieważ postępowanie w ocenie banku było w pełni zgodne z obowiązującym prawem oraz wewnętrznymi procedurami”.
Jak podkreślono, instytucja stosuje wysokie standardy ochrony danych osobowych, a dane klientów są bezpieczne.
SZP/UODO
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.