W dniu dzisiejszym Prezes Urzędu Ochrony Danych Osobowych opublikował decyzję z dnia 14 października 2021 w sprawie nałożenia kary finansowej na Bank Millenium S.A.
Do UODO wpłynęła skarga. Dotyczyła ona zgubienia przez firmę kurierską korespondencji z danymi osobowymi klientów banku. W zakres danych wchodziły: imię, nazwisko, nr PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.
Skarżący o naruszeniu został poinformowany przez Bank, jednak sposób poinformowania oraz zakres przekazanych informacji nie spełniał wymogów wynikających z art. 34 RODO.
1. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
2. Zawiadomienie, o którym mowa w ust. 1 niniejszego artykułu, jasnym i prostym językiem opisuje charakter naruszenia ochrony danych osobowych oraz zawiera przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d).
3. Zawiadomienie, o którym mowa w ust. 1, nie jest wymagane, w następujących przypadkach:
a)
administrator wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie, w szczególności środki takie jak szyfrowanie, uniemożliwiające odczyt osobom nieuprawnionym do dostępu do tych danych osobowych;
b)
administrator zastosował następnie środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, o którym mowa w ust. 1;
c)
wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
4. Jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3.
Bank po przeprowadzeniu analizy uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, dlatego też nie dokonał zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych oraz nie zrealizował pełnego obowiązku wynikającego z powyższego art.
Prezes UODO nałożył na bank karę w wysokości 363 832 złote stwierdzając naruszenie:
a) art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz
b) art. 34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą.
Dodatkowo Prezes UODO nakazał wypełnienie obowiązku zawiadomienia osób których dane dotyczą o naruszeniu z uwzględnieniem wszystkich informacji zawartych w art. 34 ust 2 RODO.
Pełna treść decyzji dostępna jest poniżej:
Zapisz się do newslettera
BĘDZIEMY CIĘ INFORMOWAĆ O OFERTACH SPECJALNYCH, NOWOŚCIACH, ZMIANACH
Twoje dane będziemy przetwarzać w sposób opisany w Polityce Prywatności.