Miliony kary dla mBanku. Za "lekceważenie praw klientów"

4 mln 53 tysiące 173 złote kary nałożył na mBank Urząd Ochrony Danych Osobowych. Bank nie zawiadomił bowiem osób poszkodowanych wyciekiem danych w sposób przewidziany prawem. 

Miliony kary, ale to "tysięczne procenta obrotu"

UODO w swoim komunikacie podkreślił, że kara wcale nie jest tak duża, jak się wydaje: "Kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku" - stwierdza komunikat Urzędu. 

Kara dotyczy zdarzenia z 30 czerwca 2022 roku, gdy pracownik firmy przetwarzającej dane na zlecenie mBanku pomylił się i wysyłał dane klientów do innej instytucji finansowej. Dokumenty wróciły do banku, jednak koperta została otwarta. Oznacza to, jak zauważa UODO, że nie można wykluczyć sytuacji, że dane klientów mogły być dostępne dla nieuprawnionego podmiotu. Tymczasem były to wrażliwe informacje - nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, miejsce zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości). W bankowości dane te są wręcz krytyczne - razem tworzą zestaw pozwalający przejąć konto. 

Tymczasem bank nie powiadomił klientów o zdarzeniu pomimo otrzymania od UODO informacji, że to jego obowiązek. Jak tłumaczył mBank, taka potrzeba nie zaistniała, gdyż dokumenty trafiły do innej instytucji finansowej, którą także obowiązuje tajemnica bankowa i do której bank ma zaufanie. Pracownicy tej instytucji stwierdzili, że nie zrobili kopii dokumentów, więc w ocenie mBanku nie było potrzeby ujawniać incydentu. 

REKLAMA

Prezes UODO stwierdził, że ujawnienie tak dużej ilości danych stwarza ogromne ryzyko dla osób, których dane dotyczą. Niepowiadomione o incydencie, nie miały możliwości zareagowania na potencjalne negatywne konsekwencje wycieku danych. Bank błędnie skoncentrował się wyłącznie na osobach mających dostęp do nich. W swoich wyjaśnieniach opierał się na zapewnieniach tych osób, że nie doszło do żadnych szkód. Jednak to niewystarczające, ponieważ w takiej analizie należy uwzględnić prawa osób dotkniętych wyciekiem. Należy również podkreślić, że przestrzeganie innych tajemnic chronionych prawem nie zwalnia z obowiązków wynikających z RODO.

Lekceważenie klientów

Jak ocenił prezes UODO, zachowanie mBanku było wręcz lekceważące w stosunku do klientów. 

- W ocenie Prezesa UODO przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza. Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją (karę nałożoną - red.) uznać za stosunkowo łagodną - stwierdza UODO w komunikacie. 

Urząd zwrócił też uwagę, że napływające do niego sprawy dotyczące mBanku sugerują, że ma on stałą politykę nieinformowania klientów o podobnych zdarzeniach. 

REKLAMA

W 2023 roku mBank, mimo rekordowo dużych przychodów i znakomitej marży odsetkowej netto, miał tylko 24,1 mln zysku netto. Niemal całość zysku pochłonęło 4,9 mld zł przeznaczone na koszty ryzyka prawnego walutowych kredytów hipotecznych, czyli na tzw. kredyty frankowe. 

• Publikowanie zdjęć dzieci w sieci kontra ich prawa. Eksperci apelują
• Banki lekceważą ochronę danych? UODO ukarał dwie instytucje finansowe
• Wakacje kredytowe przedłużone. Senat przyjął ustawę bez poprawek

UODO/AM/wmkor