Milionowa kara dla Santander Bank Polska S.A. od prezesa UODO

1 mln 440 tys. zł wyniosła kara od Prezesa UODO dla Santander Bank Polska S.A. za brak zgłoszenia naruszenia ochrony danych. To już kolejna decyzja o karze pieniężnej dla tego banku, wcześniejszy incydent miał miejsce w 2022 roku.

Niestety, o naruszeniu ochrony danych osobowych klientów Santander Bank Polska UODO dowiedział się z mediów. Naruszenie polegało na upublicznieniu dokumentów bankowych, które znalazły się w porzuconej przesyłce, ukradzionej wcześniej firmie kurierskiej. W dokumentach znajdowały się imiona i nazwiska, dane adresowe, kontaktowe, numery PESEL, dane logowania do bankowości elektronicznej, a nawet serie i numery dowodów osobistych. Bank w odpowiedzi uzasadniał, że nie doszło do zgłoszenia ze względu na fakt, że przesyłkę znalazła jedna, konkretna osoba krótko po tym jak przesyłka została skradziona. W dokumentach nie brakowało niczego, a osoba, która znalazła przesyłkę twierdziła, że nie kopiowała żadnych plików. To w ocenie banku wystarczyło, by nie zgłaszać całego incydentu.

Te argumenty nie przekonały jednak prezesa UODO. Jak czytamy w uzasadnieniu: [….]brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje. Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.”

Jak czytamy dalej w uzasadnieniu: “[…]administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki. Sam fakt kradzieży przesyłki powinien wpłynąć na właściwą i adekwatną do okoliczności ocenę tego incydentu, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.”

Przy decyzji o nałożeniu kary nie bez znaczenia był fakt, że bank już wcześniej po macoszemu potraktował kwestie zgłoszenia naruszenia ochrony danych. Miało to miejsce na początku 2022 roku. Wówczas bank otrzymał administracyjną karę pieniężną w wysokości 545 tys. zł.

Kara także dla Toyota Bank Polska

Karę w wysokości 78 tys. zł otrzymał także Toyota Bank Polska S.A. W tym przypadku wyniosła ona 78 tys. zł i została nałożona również za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Tymczasem, bank, czyli Administrator, zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu! Na dodatek, dopiero w momencie otrzymania skargi od osoby poszkodowanej tym naruszeniem.
Naruszenie w przypadku Toyota Bank polegało na wysłaniu danych klienta do nieuprawnionego odbiorcy. W treści znalazły się dane umożliwiające kradzież tożsamości. W swojej decyzji prezes UODO zaznaczył, że nie ma pewności czy przed zwrotem korespondencji niewłaściwy adresat nie skopiował ani nie utrwalił w żaden sposób danych osobowych, które przez przypadek otrzymał.

Dodaj komentarz