Bank Millennium ukarany za "niezgłoszenie naruszenia ochrony danych osobowych"
Urząd Ochrony Danych Osobowych nałożył na Bank Millennium administracyjną karę pieniężną w wysokości ponad 363,8 tys. zł m.in. za niezgłoszenie prezesowi UODO bez zbędnej zwłoki naruszenia ochrony danych osobowych - poinformował urząd w komunikacie.
2021-11-15, 14:11
W komunikacie czytamy, że UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na bank.
Firma kurierska zgubiła korespondencję banku z klientami, zawierającą ich dane osobowe
Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.
"Skarżący zostali o tym fakcie powiadomieni przez bank, ale informacje na ten temat nie były wystarczające - nie spełniały wymagań określonych w RODO. W toku sprawy okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych" - napisano.
Bank nie powiadomił o zgubie organu nadzorczego oraz klientów
Jak wyjaśnia UODO, bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą.
REKLAMA
Powiązany Artykuł
Mała szansa na szybkie rozwiązanie sprawy kredytów walutowych. "Frankowicze idą na ugody"
W komunikacie podkreślono, że do UODO trzeba zgłaszać te incydenty, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. To ryzyko wiąże się np. z kradzieżą lub sfałszowaniem tożsamości, utratą finansów, naruszeniem dobrego imienia.
Osoby, których dane mogły być ujawnione, muszą o tym wiedzieć
UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby.
Urząd wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne, czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko.
"Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO" - napisano w komunikacie.
REKLAMA
Powiązany Artykuł
UOKiK zbada, jak banki chronią nasze pieniądze
Bank nie tylko nie wypełnił swoich obowiązków, ale też nie współpracował z organem nadzorczym
UODO wskazał, że decydując o nałożeniu kary, wziął pod uwagę m.in.: to, że w toku postępowania bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, oraz niezadowalający stopień współpracy z organem nadzoru, umyślność działania, a także charakter i wagę naruszenia.
"Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniem ochrony danych" - napisano w komunikacie.
PAP, jk
REKLAMA