Nieprawidłowo wysłany list stworzył bardzo duże ryzyko wycieku danych. Mimo tłumaczeń banku, że adresat listu jest zaufaną instytucją objętą tajemnicą bankową a pracownicy nie posiadają kopii wrażliwych danych, UODO i tak postanowił nałożyć karę za niepoinformowanie klientów o zdarzeniu.
Jak dowiadujemy się z dzisiejszego ogłoszenia Urzędu Ochrony Danych Osobowych, mBank nie poinformował klientów, których dane osobowe trafiły do nieuprawnionego odbiorcy. Zdarzenie miało miejsce jeszcze 30 czerwca 2022 roku i wyniknęło z pomyłki pracownika firmy zajmującej się przetwarzaniem danych osobowych na zlecenie mBanku. W rezultacie dokumenty trafiły nie tam gdzie powinny. W ogłoszeniu poinformowano, że była to inna instytucja finansowa.
Mimo że błędnie zaadresowane dokumenty finalnie wróciły do banku to przed tym koperta z nimi została otwarta. W związku z tym nieupoważnione osoby mogły mieć dostęp do wrażliwych danych klientów.
Mimo że błędnie zaadresowane dokumenty finalnie wróciły do banku to przed tym koperta z nimi została otwarta. W związku z tym nieupoważnione osoby mogły mieć dostęp do wrażliwych danych klientów. Znajdowało się tam wiele informacji, w tym imiona, nazwiska, imiona rodziców, nazwisko rodowe matki i data urodzenia. Były też adres zamieszkania lub pobytu, numer rachunku bankowego, numer PESEL, seria i numer dowodu osobistego, informacje o zarobkach i/lub posiadanym majątku oraz te dotyczące kredytu i nieruchomości.
Jak mBank tłumaczył niepoinformowanie klientów o zdarzeniu?
Mimo błędu, w wyniku którego wyciec mogło wiele wrażliwych danych mBank nie poinformował o zdarzeniu klientów. Urząd Ochrony Danych Osobowych podaje, że Prezes UODO poinformował o konieczności zawiadomienia klientów. Bank tłumaczył jednak, że instytucja, do której omyłkowo trafiły dokumenty również jest objęta tajemnicą bankową, a ponadto ma ona dla nich status podmiotu zaufanego, z którym bank współpracuje. Dodatkowo pracownicy zaufanej instytucji mieli potwierdzić, że nie posiadają kopii wrażliwych dokumentów z danymi osobowymi.
Kara to tylko ułamek grzywny, która mogła zostać nałożona
Według Prezesa UODO możliwość ujawnienia opisywanych danych stwarza dla tych osób ogromne ryzyko. Będąc nieświadomymi całego zdarzenia osoby te nie mogły przeciwdziałać skutkom, które mogły wystąpić po naruszeniu. Zdaniem Prezesa UODO "przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza".
Urząd Ochrony Danych Osobowych postanowił nałożyć na mBank karę wynoszącą ponad 4 miliony złotych. Dowiadujemy się jednak, że grzywna mogła w zgodzie z przepisami wynikającymi z RODO wynieść nawet 337 milionów złotych. Można więc stwierdzić, że bank nie został potraktowany surowo.
Pokaż / Dodaj komentarze do: mBank zapłaci milionową karę. Nie powiadomił klientów, a powinien