mBank nie poinformował klientów o wycieku danych. Sprawą zajął się prezes Urzędu Ochrony Danych Osobowych. W rezultacie nałożył na bank karę w wysokości 4 mln 53 tys. 173 zł.
30 czerwca 2022 r. dane osobowe grupy klientów mBanku trafiły do nieuprawnionego odbiorcy.
W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu – wskazał Urząd Ochrony Danych Osobowych.
Bank o zdarzeniu poszkodowanych nie poinformował.
Jak doszło do zdarzenia?
Sam wyciek nie nastąpił w mBanku. To pracownik firmy przetwarzającej dane osobowe na zlecenie banku się pomylił. Przesłał dokumenty klientów do innej instytucji finansowej. Chociaż dokumenty wróciły do mBanku, to wcześniej koperta została otwarta i wgląd w dokumenty mogły mieć osoby niepowołane.
W dokumentach znajdowały się:
– nazwiska i imiona,
– imiona rodziców,
– nazwisko rodowe matki,
– daty urodzenia,
– numer rachunku bankowego,
– adres zamieszkania lub pobytu,
– numer PESEL,
– dane dotyczące zarobków i/lub posiadanego majątku,
-seria i numer dowodu osobistego,
– informacje dotyczące kredytu i nieruchomości.
Bank nie zawiadomił o problemie klientów, mimo że – po zgłoszeniu naruszenia – Prezes UODO poinformował o konieczności podjęcia takich działań. W wyjaśnieniach tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku, sprawy nie trzeba było ujawniać – czytamy w komunikacie UODO.
Klienci nie byli świadomi zagrożenia
Z uwagi na brak informacji skierowanej do klientów o całej sytuacji, klienci nie mogli w żaden sposób zabezpieczyć się przed ewentualnym nadużyciem. Nie wzmogli też swojej ostrożności w związku z wyciekiem.
Zdaniem prezesa UODO możliwość ujawnienia dużej ilości danych to dla tych, których one dotyczą, ogromne ryzyko. Nie zostały o problemie powiadomione, więc nawet nie miały świadomości zagrożeń.
UODO nie uznało też stanowiska mBanku w zakresie podmiotu zaufanego. Prezes UODO podkreślił, że „wnikliwa analiza wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. odbiorcę zaufanego”.
Podejście banku według oceny UODO jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza.
Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. W wyjaśnieniach bazował na zapewnieniach ze strony osób mających dostęp do ujawnionych danych, o tym, że nic złego się nie stało. To za mało. Bo przy analizowaniu takiej sytuacji należy zawsze wziąć pod uwagę także prawa osób, których naruszenie dotyczyło – zaznacza UODO.
Nałożono karę na mBank
Dlatego na mBank nałożono za to zaniechanie karę w wysokości 4 mln 53 tys. 173 zł. Zaznaczono również, że nie jest ona tak wysoka, jak mogłaby być.
Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną. Na podstawie analiz spraw, które docierają do organu nadzorczego, można założyć, że przyjęta praktyka nieinformowania osób, których dane zostały naruszone, uzasadniana jak w przypadku omawianego naruszenia ochrony danych osobowych, jest przejawem systemowej postawy (polityki) banku, co zasługuje na wyjątkowo negatywną ocenę Prezesa UODO – podał w komunikacie UODO.
mBank nie zgadza się z karą
W reakcji na decyzję Prezesa UODO mBank wystosował oświadczenie:
„Nie zgadzamy się z decyzją Prezesa UODO i odwołamy się do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W lipcu 2022 r. samodzielnie zgłosiliśmy do UODO fakt, że nasz podwykonawca zamiast do mBanku, omyłkowo skierował do innego banku dokumenty trójki klientów. Podwykonawca współpracował również z tym bankiem. Po stwierdzonej pomyłce wszystkie dokumenty bezzwłocznie wróciły do nas.
Dane wspomnianej trójki klientów pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO.
Na naszą ocenę sytuacji wpłynęło to, że dokumenty trafiły do podmiotu zaufanego, a więc nie wystąpi istotne ryzyko naruszenia praw i wolności naszych klientów.
Naszą argumentację dot. oceny tego zdarzenia przekazaliśmy Prezesowi UODO jeszcze w 2022 r. Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna.”
Źródło: bisnes.interia.pl
