Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na mBank karę ponad 4 milionów złotych (dokładnie 4 053 173 zł) za niezawiadomienie klientów o naruszeniu ochrony ich danych osobowych. To działanie banku naraziło klientów na poważne ryzyko, ponieważ nie zostali oni poinformowani o wycieku danych, co uniemożliwiło im podjęcie działań zapobiegawczych. Mimo iż kara może wydawać się duża, stanowi jedynie niewielki ułamek obrotów banku.
Do naruszenia doszło 30 czerwca 2022 roku, kiedy to pracownik firmy przetwarzającej dane na zlecenie banku omyłkowo przesłał dokumenty klientów do innej instytucji finansowej. Choć dokumenty wróciły do banku, koperta była już otwarta, co stwarzało realne ryzyko, że osoby trzecie mogły mieć dostęp do poufnych informacji.
W dokumentach znajdowały się szczegółowe dane klientów, w tym imiona i nazwiska, PESEL, adres zamieszkania, dane dotyczące majątku oraz zarobków, a także informacje o kredytach i nieruchomościach. Tego rodzaju dane są wyjątkowo wrażliwe, a ich ujawnienie może prowadzić do poważnych konsekwencji, takich jak kradzież tożsamości czy oszustwa finansowe.
Brak powiadomienia klientów – główny problem
Zgodnie z przepisami RODO, w przypadku naruszenia ochrony danych osobowych bank powinien poinformować poszkodowanych klientów, opisując możliwe konsekwencje oraz środki zaradcze. mBank jednak tego nie zrobił, mimo że Prezes UODO wydał wcześniej zalecenie, by podjąć takie działania.
Bank tłumaczył swoje zaniechanie tym, że dokumenty trafiły do instytucji, którą także obowiązuje tajemnica bankowa. Jednak Prezes UODO nie uznał tego za wystarczające usprawiedliwienie. Organ nadzorczy podkreślił, że nie ma znaczenia, kto przypadkowo otrzymał dane, lecz kluczowe jest ryzyko dla osób, których te dane dotyczą. Klienci powinni być świadomi naruszenia, by móc podjąć odpowiednie kroki.
Ryzyko dla klientów i odpowiedzialność banku
Prezes UODO zaznaczył, że osoby, których dane zostały naruszone, narażone były na poważne ryzyko, ponieważ nie miały możliwości przeciwdziałania potencjalnym zagrożeniom. W sytuacjach tego typu kluczowe jest, by klienci byli informowani o incydentach związanych z ich danymi osobowymi. Umożliwia to im monitorowanie swoich kont, zabezpieczenie się przed możliwymi próbami oszustw, a w razie potrzeby – zgłoszenie sprawy odpowiednim organom.
mBank, skupiając się na relacjach z odbiorcą danych, pominął istotę przepisów RODO, które kładą nacisk na ochronę praw osób, których dane dotyczą. W ocenie Prezesa UODO, takie postępowanie świadczy o lekceważeniu praw klientów, a nałożona kara ma na celu nie tylko ukaranie banku, ale również przypomnienie o konieczności stosowania standardów ochrony danych.
Systemowe problemy w ochronie danych?
Prezes UODO w swojej decyzji sugerował, że zaniechanie poinformowania klientów może wynikać z systemowej postawy banku w kwestii ochrony danych. Jeśli taka praktyka utrzyma się, bank może w przyszłości ponosić jeszcze wyższe konsekwencje finansowe, ponieważ zgodnie z przepisami RODO, kary mogą sięgać nawet setek milionów złotych.
Dla klientów oznacza to konieczność większej czujności wobec tego, jak ich dane są chronione przez instytucje finansowe. Każda taka sytuacja może mieć bezpośredni wpływ na ich bezpieczeństwo, dlatego tak ważne jest, aby banki przestrzegały obowiązujących przepisów i informowały swoich klientów o wszelkich naruszeniach.
To przypadek, który podkreśla, jak istotna jest odpowiednia ochrona danych osobowych w relacjach między bankami a ich klientami.