Do redakcji DGP zgłosił się czytelnik, którego numer PESEL, numer dowodu osobistego, dane teleadresowe oraz saldo rachunku bankowego zostały pokazane osobie postronnej, ta zaś opublikowała je w internecie. Incydent oceniał prezes Urzędu Ochrony Danych Osobowych (UODO), ale nie sięgnął po żadne sankcje. Prawnicy uważają, że organ nadzorczy powinien dokładniej przeanalizować sprawę i ustalić, czy nie doszło do ujawnienia danych innych klientów.

Wadliwy tablet przyczyną kłopotów

Zdarzenie, które opisał nam mieszkaniec Wrocławia, wyglądało następująco. 4 sierpnia 2021 r. pracownica oddziału PKO BP obsługiwała klientów przy okienku. Interesanci wyszli, a kobieta opuszczając stanowisko, wyłączyła swój monitor przyciskiem zasilania, nie wylogowując się jednak z systemu. Wygasił się również tablet umieszczony po stronie dla klientów. Po kilku sekundach włączył się jednak ponownie (samoczynnie) i wyświetlił informacje o koncie poprzednio obsługiwanej klientki. Nasz czytelnik (będący następny w kolejce) dostrzegł cudze dane na tablecie, ale nie zwrócił na nie szczególnej uwagi. Został obsłużony i wyszedł z banku.
Po jego wyjściu przy tym samym okienku pojawiła się kolejna osoba. Podczas jej obsługiwania pracownica banku musiała na chwilę opuścić stanowisko. I sytuacja się powtórzyła – odchodząc, kobieta wyłączyła swój ekran przyciskiem zasilania, a po kilku sekundach tablet po stronie dla klientów wyświetlił poufne informacje – tym razem o naszym czytelniku.
Obsługiwana osoba dostrzegła cudze dane na urządzeniu i była tak zszokowana, że zrobiła trzy zdjęcia tabletu zawierającego dane osobowe. Opublikowała je jako załącznik do komentarza dla placówki banku, wytykając jej nierzetelność i wskazując utratę zaufania do marki. Całe zajście nagrał monitoring banku.

Zawiadomienie o naruszeniu

26 października 2021 r. p.o. inspektor ochrony danych (IOD) i jednocześnie dyrektor departamentu bezpieczeństwa PKO BP wysłał naszemu czytelnikowi zawiadomienie o naruszeniu ochrony danych osobowych. Poinformował o zajściu, podkreślając, że fotografie zamieszczone w sieci przez innego klienta były niewyraźne w stopniu uniemożliwiającym odczytanie danych osobowych. Wskazał, że bank wystąpił do Google z żądaniem usunięcia zdjęć i ten wniosek został uwzględniony 9 sierpnia 2021 r.
Ze względu na ujawnione okoliczności sprawy, wyciek ważnych danych z instytucji finansowej oraz publiczny charakter naruszenia zasadne byłoby przyjęcie czarnego scenariusza, zgodnie z którym sprawa ta nie była jednostkowym zdarzeniem, lecz częścią większej serii. Należałoby więc sprawdzić cały system
Nasz czytelnik został pouczony o zwiększonym ryzyku kradzieży jego tożsamości, np. możliwości wyłudzenia na jego dane pożyczek lub zawarcia niekorzystnych umów. Zalecono mu zachowanie czujności w stosunku do przychodzących e-maili i SMS-ów od nieznanych nadawców, włączenie alertów w Biurze Informacji Kredytowej oraz zmianę haseł dostępowych.
Joanna Fatek, ekspert departamentu komunikacji korporacyjnej PKO BP, poinformowała DGP, że bank złożył zawiadomienie do prokuratury o możliwości popełnienia przestępstwa przez klienta, który upublicznił zdjęcia z cudzymi danymi. Sprawa jest w toku.

Bank: to nie usterka systemu

Przedstawicielka banku podkreśliła, że sytuacja związana z naruszeniem była incydentalna i nie była wynikiem usterki systemu bankowego. Nie odpowiedziała jednak na nasze pytania, czym konkretnie spowodowany był wyciek danych i czy do podobnych zdarzeń mogło dojść w innych placówkach posiadających tablet z tym samym oprogramowaniem.
Tłumaczenia PKO BP nie przekonują naszego czytelnika.
– Bank podchodzi do sprawy nonszalancko i uważa, że jeżeli nie poniosłem żadnych konkretnych strat finansowych, to nic się w zasadzie nie stało. Jestem klientem tej instytucji od ponad 25 lat i jej zachowanie wobec mnie po zaistnieniu zdarzenia uważam za skandaliczne – skarży się.

Nieznana prawdziwa skala naruszeń

O nieuprawnionym dostępie do danych bank zawiadomił prezesa Urzędu Ochrony Danych Osobowych. Organ nadzorczy przeprowadził analizę naruszenia ochrony danych osobowych i ocenił, że powoduje ono wysokie ryzyko naruszenia praw lub wolności osoby – to właśnie z jego polecenia bank zawiadomił czytelnika o wycieku danych.
Bank wyjaśnił UODO, że podjął adekwatne działania mające na celu zminimalizowanie ryzyka ponownego wystąpienia naruszenia i jego negatywnych konsekwencji, m.in. 1 września 2021 r. wgrał do oprogramowania odpowiednią zmianę, która miała naprawić problem. Przeprowadził również szkolenia związane z obsługą terminali i z zakresu ochrony danych osobowych.
Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, mówi nam, że w związku z zastosowanymi środkami naprawczymi, urząd odstąpił od dalszych czynności względem banku.
Adwokat Daria Rychlik, pełnomocniczka naszego czytelnika, uważa jednak, że prezes UODO mógł zostać wprowadzony w błąd co do jednostkowości zdarzenia.
– Choć nie możemy być pewni, że ujawnienie mogło dotyczyć wielu osób w całym kraju, to z nagrania z wrocławskiej placówki jasno wynika, że ujawniono dane nie tylko mojego klienta. Jemu też pokazano informacje o jeszcze innym kliencie banku. To dwa ujawnienia w ciągu zaledwie jednego dnia i tylko w jednej z placówek PKO BP – wskazuje.
Prawniczka przypomina, że w przeszłości prezes UODO ukarał firmę ubezpieczeniową grzywną w wysokości 85,5 tys. zł za to, że jej pracownik wysłał do złego adresata jeden e-mail zawierający dane osobowe.
– To zdarzenie ujawniało brak odpowiednich środków organizacyjnych i technicznych (art. 32 RODO – red.). W przypadku banku było podobnie– uważa mec. Rychlik.
Jej zdaniem PKO BP mógł również naruszyć tajemnicę bankową (art. 171 ust. 5 ustawy – Prawo bankowe; t.j. Dz.U. z 2021 r. poz. 2439 ze zm.).
Daria Rychlik złożyła w związku z tym zawiadomienia do prokuratury: o możliwości złamania tajemnicy bankowej przez pracownicę banku oraz jej bezpośrednią przełożoną, a także o możliwości popełnienia przestępstwa przez p.o. IOD banku, polegającego na umyślnym podaniu nieprawdziwych informacji w zawiadomieniu skierowanym do naszego czytelnika.

Nadzór mógł zrobić więcej (i powinien)

Wątpliwości wobec działań PKO BP oraz prezesa UODO ma też Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO. Uważa, że opisywana sytuacja faktycznie może nosić znamiona naruszenia tajemnicy bankowej. Pojęcie to jest bowiem stosunkowo szerokie i obejmuje wszystkie informacje dotyczące czynności bankowej. Można więc do nich zaliczyć np. numer rachunku bankowego, numer klienta i salda bankowe.
– Informacje te nie powinny być wyświetlane po zakończeniu procesu obsługi klienta w sposób sprawiający, że każda osoba przebywająca na terenie banku może wejść w ich posiadanie – podkreśla.
Jego zdaniem działania organu nadzorczego należy uznać za niewystarczające. Sprawa zakończyła się bowiem po analizie jednostkowego przypadku.
– Ze względu na ujawnione okoliczności sprawy, wyciek ważnych danych z instytucji finansowej oraz publiczny charakter naruszenia zasadne byłoby przyjęcie czarnego scenariusza, zgodnie z którym sprawa ta nie była jednostkowym zdarzeniem, lecz częścią większej serii – ocenia Adam Klimowski.
Dodaje, że prezes UODO w ramach swoich uprawnień wskazanych w art. 58 RODO powinien zażądać od banku sprawdzenia całego systemu albo samemu przeprowadzić audyt ochrony danych. – Nie jest dla mnie jasne, dlaczego organ nadzorczy tego nie zrobił – konkluduje prawnik.
Po naszych pytaniach do UODO urząd przesłał do czytelnika wiadomość, że rozważy przeprowadzenie postępowania w jego sprawie.©℗