Ochrona danych osobowych priorytetem nad interesem administratora

Naruszenie ochrony danych w Santander Bank Polska

Prezes (UODO, Mirosław Wróblewski, dowiedział się o naruszeniu ochrony danych osobowych w Santander Bank Polska S.A. z informacji podanych przez media. Naruszenie to miało miejsce, gdy dokumenty bankowe zostały ujawnione publicznie po tym, jak przesyłka zawierająca je została porzucona na osiedlu, następując po wcześniejszej kradzieży z firmy kurierskiej.

Dokumenty te zawierały wrażliwe informacje, takie jak imiona i nazwiska, daty urodzenia, numery kont bankowych, adresy i dane kontaktowe, numery PESEL, loginy i hasła do systemów bankowych, informacje o zarobkach, serie i numery dowodów osobistych oraz szczegóły produktów bankowych.

Czy mogę nie wyrazić zgody na przetwarzanie danych osobowych?Katarzyna Leszczak

Bank nie zgłosił naruszenia, argumentując, że zagubiona przesyłka została szybko odnaleziona przez osobę, która następnie przekazała ją na policję, zapewniając, że nie dokonała kopiowania zawartych w niej dokumentów i że wszystkie dokumenty zostały odzyskane bez braków.

Ocena ryzyka naruszenia danych

Prezes UODO podkreśla, że w sytuacji naruszenia ochrony danych osobowych, ocena ryzyka dla osób, których dane dotyczą, powinna być priorytetem nad interesami administratora danych. Zwrócił uwagę, że nieinformowanie osób poszkodowanych o naruszeniu, szczególnie gdy istnieje wysokie ryzyko naruszenia ich praw, pozbawia je możliwości ochrony przed potencjalnymi konsekwencjami.

Ponadto, niezgłoszenie naruszenia do UODO uniemożliwia organowi nadzorczemu podjęcie działań mających na celu ocenę ryzyka i weryfikację, czy podjęto odpowiednie kroki w celu naprawy szkód i zapobiegania podobnym incydentom w przyszłości. Brak takiego zgłoszenia ogranicza zdolność organu do oceny skuteczności zabezpieczeń danych i zapewnienia ochrony praw osób dotkniętych naruszeniem.

Kradzież danych wymaga rzetelnej oceny ryzyka

W trakcie postępowania, prezes Urzędu Ochrony Danych Osobowych podkreślił, że nieistotne jest, iż dane zostały ujawnione tylko jednej osobie. Ważne jest, że przesyłka z danymi została przez nią znaleziona, a nie można wykluczyć, że przedtem dostęp do niej miały inne osoby.

Prezes UODO zaznaczył, że sam fakt kradzieży przesyłki wymaga od administratora danych dokonania odpowiedniej oceny incydentu, biorąc pod uwagę ryzyko naruszenia praw osób, których dane dotyczą. W kontekście ustalania wysokości kary, UODO wziął pod uwagę, że dla danego administratora jest to kolejne stwierdzone naruszenie ochrony danych osobowych.

UODO cofa skargę w głośnej sprawie wyborczejMonika Świetlińska

"Przy ustalaniu wymiaru kary organ nadzorczy wskazał ponadto, że jest to kolejne naruszenie ochrony danych osobowych, które zostało stwierdzone u tego administratora. Prezes UODO, decyzją z dnia 19 stycznia 2022 r. (sygn. DKN.5131.33.2021) z uwagi na naruszenie obowiązku wynikającego z art. 34 ust. 1 RODO tj. obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, nałożył na Santander Bank Polska S.A. administracyjną karę pieniężną w wysokości 545 tys. zł." — przekazało UODO.

A Toyota?

Toyota Bank Polska S.A. został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) kwotą 78 tys. zł za opóźnienie w zgłoszeniu naruszenia ochrony danych osobowych. Zgodnie z wymogami, takie naruszenie powinno być zgłoszone bez nieuzasadnionej zwłoki, najpóźniej w ciągu 72 godzin od jego wykrycia. Jednak bank poinformował o incydencie dopiero po półtora roku, kiedy to UODO skontaktował się z nim w związku ze skargą złożoną przez osobę dotkniętą naruszeniem.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.