Dane bezpieczne „na bank” – powiedziano klientom Getin Bank

23 sierpnia, 2022

Powierzając swoje dane osobowe instytucji, jaką jest bank, zazwyczaj ma się przekonanie o solidnym zabezpieczeniu poufnych informacji. Wycieki od czasu do czasu się zdarzają, ale to, co wydarzyło się teraz w Getin Bank, przypomina kompromitujący incydent banku Santander z roku 2018 – przeczytaj jak „Dane klientów banku Santander walały się po kątach jak niepotrzebne śmieci”. W serwisie Wykop.pl użytkownik @Polska5ever pisze, że otrzymał „paczkę z masą listów poleconych, danymi ludzi, numerami umów kredytowych, adresami itd.”. W komentarzach poniżej, niejaki @snx dodaje, że na jego skrzynkę mailową regularnie od 2 lat przychodzą wiadomości, które nie powinny być do niego adresowane.

Taką stertę dokumentów otrzymał użytkownik serwisu Wykop.pl:

wyciek getin bank

Prawnicy odpowiadają, że jeśli odbiorca takich dokumentów nie jest bezpośrednio poszkodowany, to teoretycznie nie może wnosić o rozszerzenie do banku czy zadośćuczynienie. Za to może zgłosić incydent do Urzędu Ochrony Danych Osobowych, na policję i do Inspektora Danych Osobowych banku. Osobną kwestią jest, czy dana instytucja szybko zareaguje na zgłoszenie – najważniejsze, by mieć udokumentowany fakt wystąpienia i zgłoszenia incydentu naruszenia danych osobowych.

Czy warto zgłaszać wycieki danych osobowych? Oczywiście!

Na forum unijnym po to powstały przepisy o ochronie danych osobowych, aby każdy obywatel, bez względu na okoliczności, mógł do odpowiedniej instytucji, zgłosić skargę na podmiot przetwarzający.

W Polsce za monitorowanie i egzekwowanie przepisów związanych z przetwarzaniem danych odpowiada Urząd Ochrony Danych Osobowych.

W roku 2021 na podstawie decyzji Prezesa UODO (DKN.5131.16.2021) dowiadujemy się o nałożeniu kary na Bank Millenium za zwłokę polegającą na niezawiadomieniu o naruszeniu danych osobowych dwojga klientów, których te dane dotyczą. Tylko za dwoje klientów bank otrzymał karę 363 832 złotych.

Decyzja Prezesa UODO w sprawie Banku Millenium 

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Bank Millenium następujących przepisów:

  1. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz
  2. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.
 

Decyzją Prezesa UODO na Bank Millenium S.A. nałożono karę w wysokości 363 832 złotych. W dalszej kolejności Prezes UODO pouczył Bank oraz nakazał:

zawiadomienie – w terminie 3 dni od dnia doręczenia niniejszej decyzji – Pani M. G. oraz Pana W. G., o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:

a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zapamiętaj!

Według Prezesa UODO każda instytucja ma obowiązek zawiadomienia osoby fizycznej o naruszeniu! Nie jest to uzależnione od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka.

Link do wyżej wymienionej decyzji DKN.5131.16.2021 Prezesa Urzędu Ochrony Danych Osobowych.

Jeżeli jesteśmy przy wyciekach i ochronie danych osobowych w cyfrowym świecie, to koniecznie zobacz nasz unikatowy poradnik PDF, który pomoże Ci po fakcie i przed faktem ujawnienia danych:

  • Co możesz zrobić, jeśli Twoja „cyfrowa tożsamość” została skradziona?
  • Do kogo możesz się zgłosić, jeśli Twój nr PESEL lub inne dane osobowe wyciekły?
  • Jak zapobiegać wyciekom i zabezpieczyć się przed konsekwencjami?
 

Zapisując się na nasz Newsletter otrzymasz bezpłatny PDF i zostaniesz Bezpiecznym Użytkownikiem.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 5

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]