Santander Bank Polska ukarany przez Prezesa UODO

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył kary na dwa banki. W przypadku Santander Bank Polska S.A. mówimy o 1 mln 440 tys. zł, z kolei jeśli chodzi o Toyota Bank Polska S.A. jest to 78 tys. zł. Organ wskazuje, że obie instytucje nie zgłosiły naruszenia ochrony danych.

Santander Bank Polska zaskarży decyzję UODO (AKTUALIZACJA, godz. 12:41)

Jarosław Dobosz, Inspektor Ochrony Danych w Santander Bank Polska, przekazał PAP, że „bank nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego”. Jak wskazuje, kara dotyczy zdarzenia z 2018 roku, a instytucja po jego wystąpieniu podjęła działania zgodne z przepisami RODO.

Kradzież przesyłki z dokumentami

Z oficjalnego komunikatu do sprawy wynika, że Mirosław Wróblewski o incydencie w Santander Bank Polska dowiedział się z mediów. Chodziło o ujawnienie dokumentów bankowych znajdujących się w przesyłce, którą najpierw skradziono z firmy kurierskiej, a następnie porzucono na jednym z osiedli.

Wrażliwe dane

„W przesyłce były m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych” – wymienia UODO. To wrażliwe dane. 

Tłumaczenie Santander Bank Polska

Jak podaje Urząd, administrator tych danych tłumaczył brak zgłoszenia incydentu tym, że przesyłkę znalazła w krótkim czasie zidentyfikowana osoba i była kompletna – nie brakowało w niej żadnych dokumentów. Znalazca zaniósł ją na policję i oświadczył, że niczego nie kopiował.

Bank nie może skupiać się na sobie

Mirosław Wróblewski wyjaśnia, że działania banku nie były odpowiednie. Po pierwsze, w tego typu przypadkach ocenę ryzyka należy przeprowadzić z perspektywy osoby zagrożonej a nie skupiać się na interesach administratora. Po drugie, brak zgłoszenia naruszenia ochrony danych pozbawia osoby dotknięte możliwości odpowiedniej reakcji oraz samodzielnej oceny ryzyka. Ponadto, zaniechanie ze strony Santander Banku sprawiło, że organ nadzorczy nie mógł odpowiednio zareagować we właściwym czasie.

UODO: Bank nie ma pewności

UODO wskazuje, że doszło do kradzieży przesyłki z danymi wrażliwymi i bank nie ma pewności, ile osób mogło mieć dostęp do przesyłki z dokumentami. 

„Bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę” – tłumaczy Urząd.

Kolejne naruszenie przez Santander Bank Polska

Co ciekawe, to kolejne naruszenie ochrony danych przez Santander Bank Polska. W styczniu 2022 r. nałożono karę ponad pół miliona zł za niezastosowanie się do obowiązku zawiadomienia o naruszeniu osób, których sprawa dotyczy.

O półtora roku za późno

W przypadku Toyota Bank Polska S.A. mówimy o kwocie 78 tys. zł za niezgłoszenie Mirosławowi Wróblewskiemu naruszenia ochrony danych osobowych w ciągu 72 godzin od jego wystąpienia. Administrator to zrobił, ale półtora roku później, gdy UODO zainteresowało się sprawą po skardze złożonej przez poszkodowaną osobę.

Toyota Bank Polska wysłał dane tam, gdzie nie powinien

Incydent polegał na wysłaniu przez bank danych osobowych do osoby trzeciej. Mówimy o informacjach, które w ocenie UODO powodowały „wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono”. Wystarczy wspomnieć o zagrożeniu kradzieży tożsamości.

Prezes UODO podkreśla, że bank nie ma pewności, czy odbiorca wiadomości z danymi nie wykonał och kopii lub utrwalił w innyc sposób.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].