Santander Bank ma zostać ukarany. 1,5 mln zł za skradzioną przesyłkę i milczenie
Prezes UODO Mirosław Wróblewski nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł dla Santander Bank Polska S.A. za brak zgłoszenia skradzionej przesyłki, porzuconej potem na osiedlu. Przesyłka zawierała kluczowe dane klientów banku, a jak podkreśla UODO w komunikacie, to kolejne naruszenie na tym polu przez Santander Bank.
Zaginiona paczka kurierska Santandera
Mirosław Wróblewski zaznaczył, że o całej sprawie dowiedział się z mediów. W skradzionej przesyłce miały się znajdować takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.
Santander Bank Polska S.A. tłumaczył się, że nie było zgłoszenia, gdyż przesyłkę szybko odnaleziono przez zidentyfikowaną osobę. Nie zabrakło żadnych dokumentów, a osoba, która dokumenty odnalazła, dostarczyła paczkę bezpośrednio na posterunek policji, gdzie złożyła oświadczenie, że nie kopiowała znalezionych dokumentów. Zdaniem UODO to nie jest wystarczające.
"Brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje" – wyjaśnia Urząd.
Z kolei przez brak komunikatu, organ nadzorczy miał zostać pozbawiony możliwości zareagowania na naruszenie ochrony danych, w tym weryfikacji, czy administrator danych zastosował właściwe środki do zminimalizowania negatywnych skutków wydarzenia dla klientów.
UODO zaznacza, że nie ma możliwości zweryfikowania, ile osób jeszcze miało dostęp do skradzionej przesyłki.
"Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora. Prezes UODO, decyzją z dnia 19 stycznia 2022 r. (sygn. DKN.5131.33.2021) z uwagi na naruszenie obowiązku wynikającego z art. 34 ust. 1 RODO tj. obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości 545 tys. zł" – czytamy w komunikacie UODO.
Oprócz nałożenia grzywny w wysokości 1,440 mln zł, UODO nałożyło na Santander Bank Polska S.A. obowiązek powiadomienia osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.
Wysłaliśmy pytanie o decyzję UODO do Santander Bank.
Bank nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego. Kara dotyczy zdarzenia z 2018 roku. Bank po zdarzeniu podjął działania zgodne z przepisami RODO, a w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości. Bank nie zgłosił naruszenia do UODO i nie powiadomił klientów, gdyż ocenił, że w okolicznościach faktycznych tego zdarzenia oraz wobec podjętych przez Bank działań było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności klientów (przesłanka do niezgłaszania naruszenia do PUODO). Zdaniem Banku, zostały dopełnione wszystkie procedury związane z naruszeniem ochrony danych i tego stanowiska będzie bronił przed sądem.
Ukarany także Toyota Bank Polska S.A.
W tym samym komunikacie otrzymujemy informację, że za to samo przewinienie prezes UODO ukarał także Toyota Bank Polska S.A. karą w wysokości 78 tys. zł.
Tym razem chodzi o niezgłoszenie naruszenia ochrony danych osobowych w terminie nie późniejszym niż 72 godziny po stwierdzeniu naruszenia – Toyota Bank Polska S.A. zgłosił to półtora roku po nastąpieniu naruszenia. I to dopiero po tym, jak zareagował organ nadzorczy, który otrzymał skargę od poszkodowanego klienta banku.
Skarga odnosiła się do wysłania przez bank danych osoby do nieuprawnionego odbiorcy. UODO ocenia, że mogło dojść do wycieku danych pozwalających np. na kradzież tożsamości.
Klienci zdenerwowani na jeden z dużych banków
Dobrej passy wśród klientów nie ma ostatnio także mBank. Od 3 kwietnia mBank podwyższa cennik opłat za niektóre usługi, m.in. wypłaty z bankomatów czy kartę do osobistego. Trzeba też będzie płacić za wypłaty gotówki BLIK-iem z bankomatów. Jest jednak grupa klientów, której zmiany nie dotyczą. To obywatele Ukrainy.
Duża grupa klientów jest wręcz oburzona, mówi o "dyskryminacji". Więcej o tym przeczytacie na INNPoland.