Bank Millennium ukarano za niezgłoszenie naruszenia oraz niepowiadomienie w pełni osób o zdarzeniu

UODO o naruszeniu ochrony danych dowiedział się ze skargi, jaka wpłynęła na Bank. Wynikało z niej, że doszło do zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.

Skarżący zostali o tym fakcie powiadomieni przez Bank, ale informacje na ten temat nie były wystarczające – nie spełniały wymagań określonych w RODO. W toku sprawy okazało się, że administrator danych nie wypełnił obowiązków, jakie na nim ciążą w związku z naruszeniem ochrony danych osobowych. Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego nie zgłosił tego naruszenia organowi nadzorczemu oraz nie zrealizował w pełni obowiązku związanego z powiadomieniem osób, których dane dotyczą.

Tymczasem do UODO trzeba zgłaszać te z incydentów, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na prawa lub wolności osób, których dane dotyczą. Gdy to ryzyko jest wysokie, to o naruszeniu trzeba także powiadomić osoby, których dane dotyczą. Te ryzyka to np.: kradzież lub sfałszowanie tożsamości, straty finansów, naruszenie dobrego imienia. Szeroki zakres danych zawartych w korespondencji może narazić osoby dotknięte tym incydentem na takie konsekwencje.

UODO zwrócił uwagę, że gdyby w omawianej sprawie administrator powiadomił organ nadzorczy, to dostałby wówczas informację, że należy także powiadomić o naruszeniu osoby. Co ważne UODO wskazał, że z punktu widzenia przepisów o ochronie danych osobowych, biorąc pod uwagę możliwość szkodliwego wpływu na prawa lub wolności osób, nie jest istotne czy nieuprawniony odbiorca w istocie wszedł w posiadanie danych i się z nimi zapoznał, ale sam fakt, że wystąpiło takie ryzyko. Nie bez znaczenia jest także kwestia zakresu danych osobowych objętych naruszeniem, a więc nie tylko imienia i nazwiska, ale także numeru PESEL, który powinien podlegać ochronie. W omawianej decyzji organ nadzorczy nie tylko nałożył karę na administratora, ale nakazał również zawiadomienie osób poszkodowanych naruszeniem w sposób określony w art. 34 ust. 2 RODO.

UODO decydując o nałożeniu kary wziął pod uwagę m.in. to, że w toku postępowania Bank w dalszym ciągu nie zrealizował obowiązków związanych z naruszeniem, jak i niezadowalający stopień współpracy z organem nadzoru, umyślność działania oraz charakter i wagę naruszenia. Wysokość kary w ocenie organu nadzorczego spełni funkcję represyjną, gdyż nie tylko ten administrator, ale i inni będą prawidłowo wywiązywać się z obowiązków związanych z naruszeniami ochrony danych.

Źródło: https://uodo.gov.pl/pl/138/2211




 

Wypróbuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: [email protected]
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności