Do wycieku danych grupy klientów doszło w 2022 r., gdy pracownik firmy przetwarzającej dane osobowe na zlecenie mBanku omyłkowo przesłał dokumenty klientów do innego banku. Zostały one zwrócone, ale kopertę wcześniej otwarto – więc nie da się wykluczyć, że osoby trzecie miały wgląd w umieszczone tam dane, w tym: nazwiska i imiona klientów, daty urodzenia, numery rachunków bankowych, adresy, numery PESEL oraz serie i numery dowodów osobistych.

Jak podkreśla UODO, bank nie zawiadomił o tym klientów, chociaż po zgłoszeniu naruszenia został przez urząd poinformowany o takim obowiązku.

Administrator danych stwierdził, że dokumenty trafiły do związanej tajemnicą bankową instytucji (innego banku), z którą mBank współpracuje i która ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie mają kopii otrzymanych przez pomyłkę dokumentów. W opinii mBanku sprawy nie trzeba było więc ujawniać klientom.

Prezes UODO nie uznał jednak tych argumentów

Podkreślił, że drugi bank, do którego omyłkowo trafiły dokumenty z danymi osobowymi, jest w istocie podmiotem trzecim, a to, czy może być traktowany jak odbiorca zaufany – stosownie do wytycznych Europejskiej Rady Ochrony Danych (EROD) – powinno zostać ocenione z uwzględnieniem wszystkich okoliczności danego przypadku.

W ocenie UODO mBank nie wykazał okoliczności pozwalających na uznanie innego banku za odbiorcę zaufanego. Założenie administratora, że banki są traktowane jak instytucje zaufania publicznego, a zatem jak podmioty zaufane, nie zasługuje według urzędu na uwzględnienie, gdy nie zostało poparte „szczegółowo udokumentowaną analizą” konsekwencji naruszenia ochrony danych.

Błędny adres nie zawsze narusza RODO
Błędny adres nie zawsze narusza RODO

Zobacz również

"Nic złego się nie stało"

Urząd uznał też za niewystarczające bazowanie na zapewnieniach pracowników drugiego banku, że nic złego się nie stało. W ogłoszonej w poniedziałek decyzji podkreślił, że zakres danych objętych naruszeniem niewątpliwie pozwala na jednoznaczną identyfikację osób, których dane dotyczą – i że osoby te nie mogły przeciwdziałać ewentualnym skutkom wycieku, ponieważ nie zostały o problemie powiadomione.

Działanie mBanku urząd ocenił zdecydowanie negatywnie, zaznaczając, że zachowanie administratora w tej sprawie wskazuje, iż jest to jego systemowa polityka względem osób, których dane przetwarza.

Ustalając karę na 4,05 mln zł, prezes UODO podkreślił, że stanowi ona tylko 24 tysięczne procenta obrotów banku i że zgodnie z przepisami RODO mogłaby wynieść 337 mln zł. ©℗