Bank ma obowiązek zgłosić Urzędowi Ochrony Danych Osobowych i klientom wykradzenie korespondencji z ich danymi, nawet jeśli dokumenty zostały w całości odniesione na policję, a znalazca oświadczył, że ich nie skopiował. Kara nałożona na Santander Bank Polska S.A. za niedopełnienie tego obowiązku wyniosła ponad 1,4 mln zł.
Dane klientów, takie jak: imiona i nazwiska, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, ale również nazwy użytkowników i hasła do banku czy informacje na temat zarobków znajdowały się w przesyłce skradzionej firmie kurierskiej. Została ona następnie porzucona i odnaleziona przez przypadkową osobę, która odniosła kompletne dokumenty na komisariat policji. Między innymi z tego względu bank uznał, że ryzyko naruszenia praw lub wolności klientów nie jest duże, i zrezygnował z powiadomienia zarówno samych zainteresowanych, jak i UODO.
Zdaniem Mirosława Wróblewskiego, prezesa UODO, oceny wspomnianego ryzyka powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. Klienci, którzy nie zostali powiadomieni o zaginięciu i odnalezieniu przesyłki z ich danymi, nie mogli podjąć kroków, które pozwoliłyby ustrzec się przed ewentualnymi konsekwencjami. Z kolei UODO nie miał możliwości przeanalizowania naruszenia, choćby po to, by sprawdzić, czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka w przyszłości. Wpływ na wysokość kary miało to, że w 2022 r. Santander Bank był już karany za podobne naruszenie.
Dużo niższą sankcję, bo 78 tys. zł, prezes UODO nałożył na Toyota Bank Polska S.A. Tu również chodziło o brak zawiadomienia urzędu o naruszeniu polegającym na przesłaniu danych klienta do niewłaściwego adresata. ©℗
