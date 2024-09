Wyciek danych to zawsze poważna sprawa, która wiąże się z konsekwencjami. mBank musi zapłacić nałożoną karę i choć na pierwszy rzut oka, wydaje się ona gigantyczna, to w rzeczywistości okazuje się zaskakująco łagodna.

Prezes Urzędu Ochrony Danych Osobowych poinformował o nałożeniu kary dla mBanku. Bank musi zapłacić 4 miliony złotych za to, że nie poinformował on osób poszkodowanych wyciekiem danych. Choć suma ta dla szarego Kowalskiego wydaje się ogromna, to w rzeczywistości stanowi zaledwie 24 tysięczne procenta obrotów banku.

Za co kara dla mBanku?

Bank nie dopełnił obowiązków, wynikających z RODO, po tym jak doświadczył 30 czerwca 2022 roku wycieku danych swoich klientów. Dane osobowe grupy klientów mBanku trafiły do nieuprawnionego odbiorcy. Jeśli dochodzi do tego typu zdarzenia, należy poinformować o zdarzeniu oraz przedstawić wszelkie możliwe konsekwencje i środki zaradcze. W obowiązku instytucji widnieje także podanie kontaktu do inspektora ochrony danych osobowych.

W komunikacie UODO, który właśnie wydano, wyjaśniono że pracownik firmy przetwarzającej dane osobowe na zlecenie banku, pomylił się i przesłał dokumenty klientów do innej instytucji finansowej.

Dokumenty wróciły do banku, ale koperta została otwarta. Co sprawia, że wgląd do dokumentów mogły mieć osoby trzecie i nie da się wykluczyć, że z dokumentacją się zapoznały.

- mówi komunikat UODO.

Chodzi o dane osobowe, w tym PESEL, dane dotyczące zarobków oraz seria i numery dowodu osobistego. Bank nie zawiadomił o tym fakcie klientów, mimo że prezes UODO nakazał konieczność tego typu działań. W opinii banku nie było potrzeby ujawniania tego wycieku, bowiem instytucję, która weszła w chwilowe posiadanie danych także obowiązuje tajemnica bankowa. Ponadto, pracownicy potwierdzili, że nie posiadają kopii omyłkowo przesłanych dokumentów.

Jak się możemy domyślić, prezez UODO nie uznał tego wytłumaczenia, o czym świadczy nałożona kara. Takie działanie banku jest przykładem lekceważenia praw osób, których dane przetwarza. Błędne jest rozumowanie banku, który skupiał się tylko na tych, którzy mieli dostęp do danych.

Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną.

- czytamy w komunikacie UODO.

Przypomijmy, że od kary nałożonej przez UODO nie można się odwołać. Można jedynie skierować sprawę do sądu administracyjnego.

