Organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych) wrócił po świętach z mocnym akcentem. Poinformował on na swojej stronie internetowej o nałożeniu dwóch kolejnych kar związanych z brakiem zgłoszenia naruszenia ochrony danych. Obie zostały nałożone na podmioty z sektora bankowego. Ukarani to Santander Bank Polska S.A. (ponad 1 440 000 zł!) oraz Toyota Bank Polska S.A. (ponad 78 500 zł).
Warto zauważyć, że to już druga kara nałożona na Santander Bank Polski S.A. Co ciekawe, pierwsza również dotyczyła nieprawidłowości związanych z działaniami podjętymi po naruszeniu, a bardziej precyzyjnie, z brakiem zawiadomieniem o naruszeniu osób, których dane dotyczą (wówczas kara wynosiła ponad 545 000 zł). Organ nadzorczy podkreślił, że ustalając wysokość nowej kary wziął pod uwagę fakt, że jest to kolejne naruszenie stwierdzone u tego samego administratora.
Przesyłka skradziona. Administrator nie zgłasza naruszenia
Organ nadzorczy wskazał, że o naruszeniu ochrony danych w Santander Bank Polska S.A. dowiedział się nie od samego zainteresowanego, a z mediów. Administrator nie zgłosił bowiem naruszenia do urzędu oraz nie poinformował o nim osób, których dane dotyczą. Samo zdarzenie polegało na upublicznieniu dokumentów bankowych, które zostały skradzione firmie kurierskiej, a następnie porzucone na jednym z osiedli. Regulator zauważył, że w pechowej przesyłce ujawniony był dość szeroki zakres danych osobowych, a w tym m.in. imiona, nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, seria i numery dowodów osobistych, jak również nazwy użytkowników i hasła do banku.
Odnalezienie przesyłki nie ma znaczenia
Administrator bronił się wskazując, że przedmiotowe naruszenia nie zostało zgłoszone, ponieważ kompletna przesyłka została szybko odnaleziona przez możliwą do zidentyfikowania osobę. Osoba ta zaniosła znalezione dokumenty na posterunek policji i oświadczyła, że ich nie kopiowała. Organ nadzorczy stwierdził, że okoliczności te nie mają znaczenia. Liczy się bowiem – jak wskazuje Prezes UODO – fakt odnalezienia dokumentów przez wskazaną osobę, jak również to, że administrator nie ma pewności ile osób mogło mieć wcześniej dostęp do porzuconych dokumentów, co za tym idzie do znajdujących się tam danych osobowych. Organ nadzorczy zwrócił uwagę, że sam fakt pierwotnej kradzieży przesyłki również powinien mieć wpływ na właściwą ocenę tego zdarzenia.
Ważniejsza osoba, a nie interes administratora
Prezes UODO podkreślił, że oceny ryzyka związanej z naruszeniem ochrony danych powinno się dokonać mając na względzie osobę dotkniętą naruszeniem, a nie interesy administratora. Podkreślił on przy tym, że brak poinformowania o naruszeniu osób, których ono dotyczy (w przypadku wystąpienia wysokiego ryzyka naruszenia praw lub wolności), pozbawia te osoby możliwości samodzielnej oceny zdarzenia, jak również podjęcia stosownych działań. Z drugiej strony, brak zgłoszenia naruszenia do organu nadzorczego, uniemożliwia dokonania jego weryfikacji przez regulatora, w tym w zakresie oceny, czy administrator wdrożył odpowiednie środki w celu zminimalizowania negatywnych skutków dla podmiotów danych oraz ograniczenia ryzyka ponownego wystąpienia naruszenia w przyszłości.
Prezes UODO nakazał Santander Bank Polska S.A. powiadomienie o naruszeniu osób, których ono dotyczyło. Na realizację tego nakazu ukarany administrator otrzymał trzy dni od momentu otrzymania decyzji regulatora.
Kara dla Toyota Bank Polska S.A. za wysyłkę do błędnego odbiorcy
Druga z nałożonych przez Prezesa UODO kar (ukarany – Toyota Bank Polska S.A.) również związana jest z brakiem zgłoszenia naruszenia do organu nadzorczego. W tym przypadku, co prawda administrator zgłosił naruszenie, niemniej dokonał tego dopiero po wpłynięciu do organu nadzorczego skargi osoby dotkniętej tym naruszeniem. Co więcej, dokonał on zgłoszenia po półtora roku po jego stwierdzeniu. Przypomnijmy, że zgodnie z RODO naruszenie powinno być zgłoszone nie później niż w terminie 72 godzin po jego stwierdzeniu.
Nie ma pewności, że błędny odbiorca nie skopiował danych
Organ nadzorczy poinformował, że w tym przypadku naruszenie polegało na wysłaniu przesyłki bankowej do błędnego odbiorcy (innego klienta banku). Zdarzenie to dotyczyło jednej osoby fizycznej, a w jego wyniku osoba nieuprawniona miała dostęp do danych osobowych w zakresie imienia, nazwiska, numeru rachunku bankowego, adresu zamieszkania, numeru PESEL oraz numeru dowodu osobistego.
W ocenie regulatora zakres ujawnionych danych osobowych spowodował wystąpienie wysokiego ryzyka dla praw i wolności osoby dotkniętej naruszeniem, z uwagi m.in. na ryzyko kradzieży tożsamości. Co ważne, Prezes UODO podkreślił, że sam fakt zwrotu przesyłki przez błędnego odbiorcę nie powoduje, że administrator może mieć pewność, że odbiorca ten nie skopiował lub w inny sposób nie spisał danych osobowych, do których omyłkowo miał dostęp. Przyjęcie odmiennego stanowiska prawdopodobnie kosztowało administratora ponad 78 500 zł.
Jakie wnioski dla nas?
Nie można przejść obojętnie koło wskazanych decyzji organu nadzorczego. Dotyczą one bowiem jednego z najważniejszych aspektów związanych z ochroną danych osobowych w organizacji, tj. zgłaszaniem naruszeń i ewentualnym informowaniu o nich zainteresowanych osób. Z drugiej strony, wydaje się, że wysyłka korespondencji do błędnego odbiorcy lub jej zgubienie np. przez firmę kurierską, w praktyce są najczęściej występującymi naruszeniami. Nie ulega wątpliwości, że prędzej czy później u każdego administratora powstanie naruszenie ochrony danych. Warto więc odpowiednio się przygotować, aby w razie konieczności właściwie i szybko zinterpretować konkretne zdarzenie i podjąć właściwe kroki.
Źródło:
https://uodo.gov.pl/pl/138/3049
Decyzje Prezesa UODO:
https://www.uodo.gov.pl/decyzje/DKN.5131.59.2022
https://www.uodo.gov.pl/decyzje/DKN.5131.28.2023
https://uodo.gov.pl/decyzje/DKN.5131.33.2021
