W dniu 20 sierpnia 2024 r. decyzją Prezesa Urzędu Ochrony Danych Osobowych nałożona została kara ponad 4 milionów złotych na mBank za niezawiadomienie klientów o wycieku ich danych osobowych.
Co się wydarzyło?
W czerwcu 2022 roku, przez błąd pracownika firmy współpracującej z bankiem, dokumentacja z danymi osobowymi części klientów została omyłkowo przesłana do niewłaściwej instytucji finansowej. Dokumentacja zawierała informacje takie jak imiona, nazwiska, PESEL, adresy, dane o dochodach i majątku, numery dowodów osobistych oraz inne dane dotyczące kredytu i nieruchomości. Mimo że instytucja, do której trafiły dane, odesłała dokumenty i potwierdziła, że nie posiada ich kopii, koperta zawierająca ww. dokumenty miała ślady otwarcia. Zatem nie można było wykluczyć, że dostęp do danych osobowych miały podmioty trzecie. Pomimo tych okoliczności bank uznał, że nie ma potrzeby informowania klientów o tej sytuacji, ponieważ ryzyko naruszenia ich praw i wolności jest niewielkie gdyż w jego ocenie instytucja finansowa, do której trafiły dane, objęta była tajemnicą bankową oraz posiadała status podmiotu zaufanego.
Jednak Prezes UODO nie zgodził się z takim podejściem. Zdaniem organu, nawet jeśli odbiorcą danych był zaufany podmiot, to bank ma obowiązek poinformować poszkodowanych klientów o wycieku, aby mogli oni podjąć środki zapobiegawcze. Równocześnie Prezes UODO podkreślił, że przestrzeganie innych tajemnic prawnie chronionych (np. tajemnicy bankowej) nie zwalnia ze stosowania RODO.
Co ta decyzja oznacza dla Twojej firmy?
Przykład mBanku pokazuje, że każda firma musi poważnie podchodzić do kwestii ochrony danych osobowych. Nawet pozornie drobny błąd może mieć poważne konsekwencje. W omawianym przypadku kara wyniosła ponad 4 miliony złotych, a mogła być znacznie wyższa – do 337 milionów złotych, zgodnie z przepisami RODO.
Z decyzji Prezesa UODO płynie jasny przekaz: nie ma miejsca na lekceważenie obowiązków związanych z ochroną danych osobowych. Nawet jeśli błąd nie był celowy, a dane trafiły do „zaufanego” odbiorcy, obowiązkiem administratora danych jest poinformowanie osób, o wycieku ich danych osobowych. Dzięki temu mogą oni podjąć działania zapobiegające ewentualnym negatywnym skutkom, takim jak np. kradzież tożsamości. Kluczowe jest by w przypadku naruszenia lub incydentu ochrony danych osobowych w Twojej firmie istniała procedura postępowania. Bez względu na to, czy prowadzisz małą firmę, czy dużą korporację, musisz wiedzieć, jak szybko i skutecznie reagować, aby chronić dane swoich klientów oraz uniknąć kar.
Jak możemy Ci pomóc?
Zastanawiasz się, czy Twoja firma jest odpowiednio zabezpieczona, a Ty wiesz jak postępować w przypadku wycieku danych? Zespół SecHub specjalizuje się w ochronie danych osobowych i pomaga przedsiębiorcom uniknąć problemów związanych z RODO. Przeprowadzimy dla Ciebie audyt, zidentyfikujemy potencjalne ryzyka i zaproponujemy skuteczne rozwiązania, które pozwolą Ci spać spokojnie.
Nie czekaj, skontaktuj się z nami już dziś. Pomożemy Ci wdrożyć odpowiednie procedury i zadbać o to, aby przetwarzanie danych osobowych w Twojej firmie było zgodne z przepisami. Zainwestuj w bezpieczeństwo teraz, aby uniknąć problemów w przyszłości!