1 mln zł 440 tys. zł kary dla Santander Bank Polska S.A.

Prezes UODO o naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. dowiedział się z mediów… Polegało ono na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej na jednym z osiedli przesyłce, po tym jak została ona wcześniej skradziona firmie kurierskiej.

• W przesyłce były m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.

Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera.

• Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów.

Prezes UODO w swojej decyzji wskazał jednak, że w przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.

Zaznaczył przy tym, że brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je

• nie tylko możliwości odpowiedniej reakcji na naruszenie,

• ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje.

Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy:

• możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej,

• ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą.

Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.

Prezes UODO w toku postępowania uznał też, że bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie.

• Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę.

• Ponadto administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki.

Sam fakt kradzieży przesyłki powinien wpłynąć na właściwą i adekwatną do okoliczności ocenę tego incydentu, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora.

• Prezes UODO, decyzją z dnia 19 stycznia 2022 r. (sygn. DKN.5131.33.2021) z uwagi na naruszenie obowiązku wynikającego z art. 34 ust. 1 RODO tj. obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości 545 tys. zł.

• Oprócz wspomnianej kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.

Prezes UODO ukarał także Toyota Bank Polska S.A.

W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

• Administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości).

• W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

Z pełną treścią obu decyzji Prezesa UODO, nakładających kary na administratorów w opisanych sprawach, można zapoznać się na stronach UODO:

• Decyzja w sprawie Santander Bank Polska S.A.

• Decyzja w sprawie Toyota Bank Polska S.A.