Pracownicy popularnego banku popełnili poważny błąd. Klienci nie zostali powiadomieni o możliwym wycieku ich danych. Teraz UODO nałożył karę, która będzie kosztowała instytucję cztery miliony złotych.

Jeden błąd będzie kosztował 4 miliony złotych

Pracownik jednego z popularnych w Polsce banków przesłał dokumenty pewnej grupy klientów do innej instytucji finansowej. W materiałach znajdowały się liczne dane, a wśród nich nazwiska i imiona klienta, data urodzenia, seria i numer PESEL, adres zamieszkania lub pobytu, imiona i nazwiska rodziców, a także numery konta, zarobki, posiadany majątek oraz informacje na temat kredytu czy nieruchomości.

Pomimo, że koperta z zawartością powróciła do banku okazało się, że została otwarta. Wgląd do wrażliwych danych mogły mieć osoby trzecie. Klientów jednak nie poinformowano o tej sytuacji, nie przekazano też możliwych konsekwencji i środków zaradczych oraz metody kontaktu z inspektorem ochrony danych osobowych. Tym samym instytucja finansowa złamała przepisy wynikające z RODO.

mBank zgłosił zaistniałe naruszenie z dnia 30 czerwca 2022 roku do Urzędu Ochrony Danych Osobowych. I choć Prezes UODO poinformował instytucję o konieczności zawiadomienia klientów, ta nie wykonała tej czynności.

Dlaczego mBank nie poinformował klientów?

mBank tłumaczył się urzędowi, że dokumenty zostały mylnie skierowane do podmiotu zaufanego, w której również obowiązuje tajemnica bankowa. Co więcej, pracownicy drugiej instytucji potwierdzili, iż kopia dokumentów nie została wykonana. To jednak UODO nie wystarczyło.

Jak zaznaczono w decyzji, ujawnienie tak dużej ilości danych na temat osób, których one nie dotyczą jest powiązane z ryzykiem. Urząd stwierdził, iż instytucja finansowa zlekceważyła prawa klientów. UODO wspomniał, że kara jest łagodna, bo wynosi 4053173 złote, a według przepisów RODO mogłaby sięgać do 337 milionów złotych.

Dodatkowo bank został zobowiązany do zawiadomienia osób, których dotyczyło naruszenie danych, w ciągu 7 dni od doręczenia decyzji. Informacja przesyłana do klientów ma zawierać opis charakteru naruszenia, imię, nazwisko oraz metodę kontaktowania się z inspektorem ochrony danych osobowych, opis ewentualnych konsekwencji i środków zaradczych.