UODO nakłada karę na Bank Millenium za zwłokę zgłoszenia incydentu (umowa zgubiona przez firmę kurierską)

22 listopada, 2021

Warto zgłaszać naruszenia danych osobowych! Na forum unijnym właśnie po to powstały przepisy o ochronie danych osobowych, aby każdy obywatel, bez względu na okoliczności, mógł do odpowiedniej instytucji zgłosić skargę na podmiot przetwarzający. W Polsce za monitorowanie i egzekwowanie przepisów, w tym upowszechnianie w społeczeństwie wiedzę o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem danych odpowiada Urząd Ochrony Danych Osobowych. Z najnowszej decyzji Prezesa UODO (DKN.5131.16.2021) dowiadujemy się o nałożeniu kary na Bank Millenium za zwłokę polegającą na niezawiadomieniu o naruszeniu danych osobowych dwojga klientów, których te dane dotyczą.

Z tego artykułu dowiesz się m.in. o:

Decyzja Prezesa UODO w sprawie Banku Millenium

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Bank Millenium następujących przepisów:

a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz
b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,

Decyzją Prezesa UODO na Bank Millenium S.A. nałożono karę w wysokości  363 832 złotych. W dalszej kolejności Prezes UODO pouczył Bank oraz nakazał:

zawiadomienie – w terminie 3 dni od dnia doręczenia niniejszej decyzji – Pani M. G. oraz Pana W. G., o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:

a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Firmy kurierskie gubią przesyłki, to się zdarza!

Dwoje potencjalnych klientów Banku Millenium złożyło skargę do UODO po tym, jak 4 miesiące po złożeniu wniosku o założenie konta okazało się, że dokumentacja, która zawierała dane osobowe, po prostu zaginęła. Co więcej osoby te nie otrzymały od banku należytej pomocy. Zazwyczaj podczas wycieku danych informuje się osoby fizyczne o następujących kwestiach:

  • Czego mogę się podziewać w związku ze zgubieniem dokumentacji?
  • Jak mogę się ustrzec przed ewentualnym konsekwencjami?
  • Co mogę zrobić w zaistniałej sytuacji?

Dokumenty, które zostały podpisane przez skarżących, zawierały następujące dane (w obu przypadkach doszło do naruszenia trochę innych danych):

  • Imię
  • Nazwisko
  • PESEL
  • Adres zameldowania
  • Numer rachunków bankowych.
  • Numer CIF (numer identyfikacyjny nadawany klientom Banku)

Śledztwo prowadzone przez Prezesa UODO i jego pomocników z urzędu wyjaśniło, że ani Bank, ani firma kurierska nie poczuwały się do odpowiedzialności za zgubienie pism z danymi osobowymi. Z tego powodu dwoje obywateli wzięło sprawy w swoje ręce, zgłaszając reklamację do Banku. Dodatkowo zgłosili oni do UODO potencjalne naruszenie danych osobowych w związku ze zgubieniem dokumentacji.

Bank argumentuje swoją pomyłkę tym, że dane skarżących nie posłużyły do wyłudzenia kredytu, a utrata przesyłki kurierskiej nie spowodowała też innych niedogodności, co sugerowałoby poprawność oceny incydentu przez Bank.

Według Prezesa UODO Bank nie ma racji, ponieważ obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka.

UODO uznało, że w związku z naruszeniem danych w tym konkretnym przypadku, z punktu osób poszkodowanych, potencjalny wyciek powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Argumentacja UODO dotyczy w szczególności

1. Nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, które z uwagi na zakres danych należy uznać jako wysokie.

2. Dla powstania obowiązku zawiadomienia  o naruszeniu ochrony danych osobowych osób, których dane dotyczą, nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, wystarczająca jest  w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji.

Bank odwołuje się. Prezes UODO reaguje

Bank przyjął za jedną z linii obrony fakt publicznej dostępności numerów PESEL niektórych osób fizycznych. Chodzi o dane z Krajowego Rejestru Sądowego i z Monitora Sądowego. Kontrargumentem UODO jest to, że dane skarżących nie są publicznie dostępne w wymienionych rejestrach, a także, że aktualne przepisy zapewniające legalność takiego przetwarzania danych powinny być zmodyfikowane, gdyż wzbudzają wątpliwość.

Drugim argumentem obronnym Banku było stwierdzenie, że w praktyce nie jest możliwe wykorzystanie danych z przesyłki kurierskiej zalegającej w magazynie X w stanie nienaruszonym.

Dla UODO nie ma to znaczenia, ponieważ postępowanie nie dotyczy ujawnienia danych osobowych, ale faktu wystąpienia incydentu stwarzającego ryzyko.

Dane na papierze nie są zaszyfrowane!

Jednym z przykładów wycieków, które teoretycznie nie stwarzają ryzyka, a więc ich zgłoszenie nie jest konieczne, jest wyciek zaszyfrowanych danych bez klucza kryptograficznego, potrzebnego do odszyfrowania plików. Oczywiście przy założeniu, że klucz kryptograficzny jest bezpiecznie przechowywany przez administratora i nie jest to jedyna kopia danych osobowych.

I na koniec statystyki z UODO z rocznego sprawozdania z działalności Prezesa UODO. Otóż według rocznych sprawozdań w zdecydowanej większości dokonywane Prezesowi UODO zgłoszenia naruszenia ochrony danych osobowych dotyczą zagubienia dokumentacji zawierających dane osobowe, głównie  w formie papierowej przez operatorów pocztowych lub podmioty świadczące usługi kurierskie. 

Obywatelu! Zobacz instrukcję zgłaszania naruszenia danych osobowych!

Złożenie do UODO podania, wniosków i skarg w postaci dokumentu elektronicznego za pośrednictwem Elektronicznej Skrzynki Podawczej możliwe jest przy użyciu dedykowanych formularzy udostępnionych na platformach ePUAP2 i biznes.gov.pl. Ponadto warto odwiedzić trzy strony, które wyjaśnią w zasadzie wszystko, jeśli chodzi o skargi i wnioski. Szczególnie polecamy interaktywną infografikę, w której wszystko zostało podane na tacy.

Czy ten artykuł był pomocny?

Oceniono: 3 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]