1 tydzień temu
Kara nałożona przez Urząd Ochrony Danych Osobowych na mBank dotyczy tego, iż instytucja finansowa nie dopełniła obowiązków związanych z RODO. To efekt sytuacji, kiedy 30 czerwca 2022 roku dane osobowe pewnej grupy klientów trafiły do złego odbiorcy.
W dokumentach znalazły się takie informacje, jak:
nazwiska i imiona,
daty urodzenia,
adres zamieszkania lub pobytu,
numer PESEL.
Oprócz tego w błędnie zaadresowanej korespondencji umieszczono też dane dotyczące zarobków i posiadanego majątku, nazwisko rodowe matki, czy seria i numer dowodu osobistego, a także informacje związane z kredytami i nieruchomościami.
mBank popełnił błąd i nie poinformował swoich klientów
Urząd Ochrony Danych Osobowych nałożył na mBank karę ze względu na fakt, iż instytucja finansowa nie poinformowała o zdarzeniu swoich klientów. Nie zrobiono tego pomimo sytuacji, gdy prezes UODO poinformował, iż trzeba podjąć wspomniane kroki.
Tłumaczenia mBanku opierały się na tym, iż dokumenty zostały przesłane instytucji, którą również obowiązuje tajemnica bankowa. W ich opinii miała ona także status podmiotu zaufanego. Dodając do tego fakt, iż błędny odbiorca korespondencji wykluczył posiadanie kopii otrzymanych danych, mBank stwierdził, iż informowanie klientów nie jest konieczne.
UODO odrzuciło wyjaśnienia mBanku
Prezes Urzędu Ochrony Danych Osobowych nie przychylił się do stanowiska mBanku dotyczącego oceny błędnego adresata jako podmiotu zaufanego. Zdaniem urzędu nie można go określać jako tzw. instytucję, czy osobę zaufania publicznego.
Prezes UODO wskazał także, iż prawdopodobieństwo wycieku takiej ilości danych o konkretnej specyfice stwarza dla osób będących ich posiadaczami potężne ryzyko. Urząd zwrócił także uwagę, iż ze względu na brak informacji ze strony mBanku, poszkodowani nie mogli przeciwdziałać opcjonalnym, złym skutkom naruszenia.
Kara nałożona na mBank (zgodnie z przepisami RODO) mogłaby wynieść 337 milionów złotych. Jednak prezes UODO zdecydował się na niższy wymiar – 4 miliony złotych.
