Problem techniczny w placówce PKO BP doprowadził do wycieku ważnych informacji o kliencie. Firma uznała, że to zdarzenie było incydentalne. Podobnie stwierdził organ stojący na straży prywatności. Zdaniem prawników był jednak zbyt pobłażliwy

Do redakcji DGP zgłosił się czytelnik, którego numer PESEL, numer dowodu osobistego, dane teleadresowe oraz saldo rachunku bankowego zostały pokazane osobie postronnej, ta zaś opublikowała je w internecie. Incydent oceniał prezes Urzędu Ochrony Danych Osobowych (UODO), ale nie sięgnął po żadne sankcje. Prawnicy uważają, że organ nadzorczy powinien dokładniej przeanalizować sprawę i ustalić, czy nie doszło do ujawnienia danych innych klientów.

Wadliwy tablet przyczyną kłopotów

Zdarzenie, które opisał nam mieszkaniec Wrocławia, wyglądało następująco. 4 sierpnia 2021 r. pracownica oddziału PKO BP obsługiwała klientów przy okienku. Interesanci wyszli, a kobieta opuszczając stanowisko, wyłączyła swój monitor przyciskiem zasilania, nie wylogowując się jednak z systemu. Wygasił się również tablet umieszczony po stronie dla klientów. Po kilku sekundach włączył się jednak ponownie (samoczynnie) i wyświetlił informacje o koncie poprzednio obsługiwanej klientki. Nasz czytelnik (będący następny w kolejce) dostrzegł cudze dane na tablecie, ale nie zwrócił na nie szczególnej uwagi. Został obsłużony i wyszedł z banku.
Po jego wyjściu przy tym samym okienku pojawiła się kolejna osoba. Podczas jej obsługiwania pracownica banku musiała na chwilę opuścić stanowisko. I sytuacja się powtórzyła – odchodząc, kobieta wyłączyła swój ekran przyciskiem zasilania, a po kilku sekundach tablet po stronie dla klientów wyświetlił poufne informacje – tym razem o naszym czytelniku.
Obsługiwana osoba dostrzegła cudze dane na urządzeniu i była tak zszokowana, że zrobiła trzy zdjęcia tabletu zawierającego dane osobowe. Opublikowała je jako załącznik do komentarza dla placówki banku, wytykając jej nierzetelność i wskazując utratę zaufania do marki. Całe zajście nagrał monitoring banku.

Zawiadomienie o naruszeniu

26 października 2021 r. p.o. inspektor ochrony danych (IOD) i jednocześnie dyrektor departamentu bezpieczeństwa PKO BP wysłał naszemu czytelnikowi zawiadomienie o naruszeniu ochrony danych osobowych. Poinformował o zajściu, podkreślając, że fotografie zamieszczone w sieci przez innego klienta były niewyraźne w stopniu uniemożliwiającym odczytanie danych osobowych. Wskazał, że bank wystąpił do Google z żądaniem usunięcia zdjęć i ten wniosek został uwzględniony 9 sierpnia 2021 r.
Ze względu na ujawnione okoliczności sprawy, wyciek ważnych danych z instytucji finansowej oraz publiczny charakter naruszenia zasadne byłoby przyjęcie czarnego scenariusza, zgodnie z którym sprawa ta nie była jednostkowym zdarzeniem, lecz częścią większej serii. Należałoby więc sprawdzić cały system
Nasz czytelnik został pouczony o zwiększonym ryzyku kradzieży jego tożsamości, np. możliwości wyłudzenia na jego dane pożyczek lub zawarcia niekorzystnych umów. Zalecono mu zachowanie czujności w stosunku do przychodzących e-maili i SMS-ów od nieznanych nadawców, włączenie alertów w Biurze Informacji Kredytowej oraz zmianę haseł dostępowych.
Joanna Fatek, ekspert departamentu komunikacji korporacyjnej PKO BP, poinformowała DGP, że bank złożył zawiadomienie do prokuratury o możliwości popełnienia przestępstwa przez klienta, który upublicznił zdjęcia z cudzymi danymi. Sprawa jest w toku.

Bank: to nie usterka systemu

Przedstawicielka banku podkreśliła, że sytuacja związana z naruszeniem była incydentalna i nie była wynikiem usterki systemu bankowego. Nie odpowiedziała jednak na nasze pytania, czym konkretnie spowodowany był wyciek danych i czy do podobnych zdarzeń mogło dojść w innych placówkach posiadających tablet z tym samym oprogramowaniem.
Tłumaczenia PKO BP nie przekonują naszego czytelnika.
– Bank podchodzi do sprawy nonszalancko i uważa, że jeżeli nie poniosłem żadnych konkretnych strat finansowych, to nic się w zasadzie nie stało. Jestem klientem tej instytucji od ponad 25 lat i jej zachowanie wobec mnie po zaistnieniu zdarzenia uważam za skandaliczne – skarży się.

Nieznana prawdziwa skala naruszeń

O nieuprawnionym dostępie do danych bank zawiadomił prezesa Urzędu Ochrony Danych Osobowych. Organ nadzorczy przeprowadził analizę naruszenia ochrony danych osobowych i ocenił, że powoduje ono wysokie ryzyko naruszenia praw lub wolności osoby – to właśnie z jego polecenia bank zawiadomił czytelnika o wycieku danych.
Bank wyjaśnił UODO, że podjął adekwatne działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia i jego negatywnych konsekwencji, m.in. 1 września 2021 r. wgrał do oprogramowania odpowiednią zmianę, która miała naprawić problem. Przeprowadził również szkolenia związane z obsługą terminali i z zakresu ochrony danych osobowych.
Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, mówi nam, że w związku z zastosowanymi środkami naprawczymi, urząd odstąpił od dalszych czynności względem banku.
Adwokat Daria Rychlik, pełnomocniczka naszego czytelnika, uważa jednak, że prezes UODO mógł zostać wprowadzony w błąd co do jednostkowości zdarzenia.
– Choć nie możemy być pewni, że ujawnienie mogło dotyczyć wielu osób w całym kraju, to z nagrania z wrocławskiej placówki jasno wynika, że ujawniono dane nie tylko mojego klienta. Jemu też pokazano informacje o jeszcze innym kliencie banku. To dwa ujawnienia w ciągu zaledwie jednego dnia i tylko w jednej z placówek PKO BP – wskazuje.
Prawniczka przypomina, że w przeszłości prezes UODO ukarał firmę ubezpieczeniową grzywną w wysokości 85,5 tys. zł za to, że jej pracownik wysłał do złego adresata jeden e-mail zawierający dane osobowe.
– To zdarzenie ujawniało brak odpowiednich środków organizacyjnych i technicznych (art. 32 RODO – red.). W przypadku banku było podobnie– uważa mec. Rychlik.
Jej zdaniem PKO BP mógł również naruszyć tajemnicę bankową (art. 171 ust. 5 ustawy – Prawo bankowe; t.j. Dz.U. z 2021 r. poz. 2439 ze zm.).
Daria Rychlik złożyła w związku z tym zawiadomienia do prokuratury: o możliwości złamania tajemnicy bankowej przez pracownicę banku oraz jej bezpośrednią przełożoną, a także o możliwości popełnienia przestępstwa przez p.o. IOD banku, polegającego na umyślnym podaniu nieprawdziwych informacji w zawiadomieniu skierowanym do naszego czytelnika.

Nadzór mógł zrobić więcej (i powinien)

Wątpliwości wobec działań PKO BP oraz prezesa UODO ma też Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO. Uważa, że opisywana sytuacja faktycznie może nosić znamiona naruszenia tajemnicy bankowej. Pojęcie to jest bowiem stosunkowo szerokie i obejmuje wszystkie informacje dotyczące czynności bankowej. Można więc do nich zaliczyć np. numer rachunku bankowego, numer klienta i salda bankowe.
– Informacje te nie powinny być wyświetlane po zakończeniu procesu obsługi klienta w sposób sprawiający, że każda osoba przebywająca na terenie banku może wejść w ich posiadanie – podkreśla.
Jego zdaniem działania organu nadzorczego należy uznać za niewystarczające. Sprawa zakończyła się bowiem po analizie jednostkowego przypadku.
– Ze względu na ujawnione okoliczności sprawy, wyciek ważnych danych z instytucji finansowej oraz publiczny charakter naruszenia zasadne byłoby przyjęcie czarnego scenariusza, zgodnie z którym sprawa ta nie była jednostkowym zdarzeniem, lecz częścią większej serii – ocenia Adam Klimowski.
Dodaje, że prezes UODO w ramach swoich uprawnień wskazanych w art. 58 RODO powinien zażądać od banku sprawdzenia całego systemu albo samemu przeprowadzić audyt ochrony danych. – Nie jest dla mnie jasne, dlaczego organ nadzorczy tego nie zrobił – konkluduje prawnik.
Po naszych pytaniach do UODO urząd przesłał do czytelnika wiadomość, że rozważy przeprowadzenie postępowania w jego sprawie. ©℗