Miliony kary dla mBanku. Za "lekceważenie praw klientów"
Urząd Ochrony Danych Osobowych nie miał litości dla mBanku. Niedopełnienie obowiązków przez bank oznacza ponad 4 mln złotych kary.
2024-09-09, 16:05
4 mln 53 tysiące 173 złote kary nałożył na mBank Urząd Ochrony Danych Osobowych. Bank nie zawiadomił bowiem osób poszkodowanych wyciekiem danych w sposób przewidziany prawem.
Miliony kary, ale to "tysięczne procenta obrotu"
UODO w swoim komunikacie podkreślił, że kara wcale nie jest tak duża, jak się wydaje: "Kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku" - stwierdza komunikat Urzędu.
Kara dotyczy zdarzenia z 30 czerwca 2022 roku, gdy pracownik firmy przetwarzającej dane na zlecenie mBanku pomylił się i wysyłał dane klientów do innej instytucji finansowej. Dokumenty wróciły do banku, jednak koperta została otwarta. Oznacza to, jak zauważa UODO, że nie można wykluczyć sytuacji, że dane klientów mogły być dostępne dla nieuprawnionego podmiotu. Tymczasem były to wrażliwe informacje - nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, miejsce zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości). W bankowości dane te są wręcz krytyczne - razem tworzą zestaw pozwalający przejąć konto.
Tymczasem bank nie powiadomił klientów o zdarzeniu pomimo otrzymania od UODO informacji, że to jego obowiązek. Jak tłumaczył mBank, taka potrzeba nie zaistniała, gdyż dokumenty trafiły do innej instytucji finansowej, którą także obowiązuje tajemnica bankowa i do której bank ma zaufanie. Pracownicy tej instytucji stwierdzili, że nie zrobili kopii dokumentów, więc w ocenie mBanku nie było potrzeby ujawniać incydentu.
REKLAMA
Prezes UODO stwierdził, że ujawnienie tak dużej ilości danych stwarza ogromne ryzyko dla osób, których dane dotyczą. Niepowiadomione o incydencie, nie miały możliwości zareagowania na potencjalne negatywne konsekwencje wycieku danych. Bank błędnie skoncentrował się wyłącznie na osobach mających dostęp do nich. W swoich wyjaśnieniach opierał się na zapewnieniach tych osób, że nie doszło do żadnych szkód. Jednak to niewystarczające, ponieważ w takiej analizie należy uwzględnić prawa osób dotkniętych wyciekiem. Należy również podkreślić, że przestrzeganie innych tajemnic chronionych prawem nie zwalnia z obowiązków wynikających z RODO.
Lekceważenie klientów
Jak ocenił prezes UODO, zachowanie mBanku było wręcz lekceważące w stosunku do klientów.
- W ocenie Prezesa UODO przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza. Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją (karę nałożoną - red.) uznać za stosunkowo łagodną - stwierdza UODO w komunikacie.
Urząd zwrócił też uwagę, że napływające do niego sprawy dotyczące mBanku sugerują, że ma on stałą politykę nieinformowania klientów o podobnych zdarzeniach.
REKLAMA
W 2023 roku mBank, mimo rekordowo dużych przychodów i znakomitej marży odsetkowej netto, miał tylko 24,1 mln zysku netto. Niemal całość zysku pochłonęło 4,9 mld zł przeznaczone na koszty ryzyka prawnego walutowych kredytów hipotecznych, czyli na tzw. kredyty frankowe.
Aktualizacja 10.09.2024:
Po publikacji tekstu otrzymaliśmy stanowisko mBanku w tej sprawie. Umieszczamy je bez zmian.
Nie zgadzamy się z decyzją Prezesa UODO i odwołamy się do Wojewódzkiego Sądu Administracyjnego w Warszawie.
W lipcu 2022 r. samodzielnie zgłosiliśmy do UODO fakt, że nasz podwykonawca zamiast do mBanku, omyłkowo skierował do innego banku dokumenty trójki klientów. Podwykonawca współpracował również z tym bankiem. Po stwierdzonej pomyłce wszystkie dokumenty bezzwłocznie wróciły do nas.
Dane wspomnianej trójki klientów pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO.
Na naszą ocenę sytuacji wpłynęło to, że dokumenty trafiły do podmiotu zaufanego, a więc nie wystąpi istotne ryzyko naruszenia praw i wolności naszych klientów.
Naszą argumentację dot. oceny tego zdarzenia przekazaliśmy Prezesowi UODO jeszcze w 2022 r. Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna.
Przekazał mBank.
REKLAMA
- Publikowanie zdjęć dzieci w sieci kontra ich prawa. Eksperci apelują
- Banki lekceważą ochronę danych? UODO ukarał dwie instytucje finansowe
- Wakacje kredytowe przedłużone. Senat przyjął ustawę bez poprawek
UODO/AM/wmkor
REKLAMA