"Kara wydaje się ogromna, ale stanowi tylko 24 tysięczne procenta obrotów banku" - czytamy w komunikacie UODO.
Podano, że bank nie dopełnił obowiązków wynikających z RODO po tym, jak 30 czerwca 2022 r. dane osobowe grupy klientów trafiły do nieuprawnionego odbiorcy. W takim wypadku osoby, których dane dotyczą, należy poinformować o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.
Dalsza część artykułu pod materiałem wideo
Pracownik firmy przetwarzającej dane osobowe na zlecenie banku pomylił się i przesłał dokumenty klientów do innej instytucji finansowej. Dokumenty wróciły do banku, ale koperta wcześniej została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały - napisano.
Wskazano, że w dokumentach były: nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, inne (informacje dotyczące kredytu i nieruchomości).
Bank nie zawiadomił o problemie klientów, mimo że - po zgłoszeniu naruszenia - Prezes UODO poinformował o konieczności podjęcia takich działań. W wyjaśnieniach tłumaczono, że dokumenty mylnie trafiły do instytucji, którą także obowiązuje tajemnica bankowa, jest to podmiot, z którym bank współpracuje i który - zdaniem banku - ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku, sprawy nie trzeba było ujawniać.
UODO: ogromne ryzyko dla osób, których dane dotyczą
Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego.
Argumentując tę decyzję, podkreślił, między innymi, że "wnikliwa analiza Wytycznych 9/2022 jednoznacznie wskazuje, że to nie status odbiorcy, uznawanie go za tzw. instytucję (osobę) zaufania publicznego, czy też działanie w ramach obowiązujących przepisów prawa, lecz istnienie bezpośredniej (stałej) relacji między nadawcą a odbiorcą błędnie przesłanej korespondencji przesądza o dopuszczalności uznania konkretnego podmiotu jako tzw. odbiorcę zaufanego".
Prezes UODO uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. Bank rozumował błędnie skupiając się tylko na tym, kto miał dostęp do ujawnionych danych.
W ocenie Prezesa UODO przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza.
"Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną. Na podstawie analiz spraw, które docierają do organu nadzorczego, można założyć, że przyjęta praktyka nieinformowania osób, których dane zostały naruszone, uzasadniana jak w przypadku omawianego naruszenia ochrony danych osobowych, jest przejawem systemowej postawy (polityki) banku, co zasługuje na wyjątkowo negatywną ocenę Prezesa UODO" - podkreślono w komunikacie.
mBank: kara jest nieadekwatna
mBank nie zgadza się z decyzją Prezesa UODO. Zapowiada, że odwoła się do Wojewódzkiego Sądu Administracyjnego w Warszawie.
Bank tłumaczy, że w lipcu 2022 r. samodzielnie zgłosił do UODO fakt, że podwykonawca zamiast do mBanku, omyłkowo skierował do innego banku dokumenty trójki klientów.
Po stwierdzonej pomyłce wszystkie dokumenty bezzwłocznie wróciły do nas. Dane wspomnianej trójki klientów pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO. Na naszą ocenę sytuacji wpłynęło to, że dokumenty trafiły do podmiotu zaufanego, a więc nie wystąpi istotne ryzyko naruszenia praw i wolności naszych klientów - informuje Kinga Wojciechowska-Rulka, rzeczniczka prasowa mBanku.
Dodaje, że argumentację dotyczącą oceny tego zdarzenia bank przekazał Prezesowi UODO jeszcze w 2022 r. "Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna" - dodaje przedstawicielka mBanku.