Kolejne kary w związku z naruszeniem przepisów RODO.
Prezes Urzędu Ochrony Danych Osobowych nałożył kolejne kary finansowe, w związku z naruszeniami postanowień RODO.
Na Santander Bank Polska S.A. nałożona została kara w wysokości prawie 1,5 mln zł, w związku z niezgłoszeniem naruszenia ochrony danych. Naruszenie polegało na upublicznieniu dokumentów bankowych, znajdujących się w porzuconej przesyłce, po tym jak została ona wcześniej skradziona kurierowi. W dokumentach tych znajdowały się m.in.: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych.
Jak podano w komunikacie PUODO: „Administrator danych tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów, a osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie kopiowała znalezionych dokumentów”.
Bank w przesłanym do mediów oświadczeniu stwierdził, że nie zgadza się wydaną decyzją i zapowiedział wniesienie skargi do Wojewódzkiego Sądu Administracyjnego.
Ponadto w wydanym przez Bank oświadczeniu przeczytać możemy, że Santander po zdarzeniu podjął działania zgodne z przepisami RODO, w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości. Bank nie zgłosił naruszenia do UODO i nie powiadomił klientów, gdyż ocenił, że w okolicznościach faktycznych tego zdarzenia oraz wobec podjętych przez Bank działań było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności klientów. Według banku „zostały dopełnione wszystkie procedury związane z naruszeniem ochrony danych i tego stanowiska będzie bronił przed sądem”.
Oprócz tego Prezes UODO wydał decyzję o nałożeniu kary finansowej w wysokości 78 tys. zł na Toyota Bank Polska. Również w tym przypadku, podstawą wydania takiej decyzji było niezgłoszenie PUODO naruszenia ochrony danych osobowych, bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia. O naruszeniu PODO dowiedział się dopiero po otrzymaniu skargi od osoby, której naruszenie dotyczyło. Naruszenie polegało na wysłaniu przez bank danych osobowych do nieuprawnionego odbiorcy. W ocenie PUODO „zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości).” W decyzji organ nadzorczy zaznaczył też, że „administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie”.
Przedstawione powyżej decyzje po raz kolejny powinny stanowić przestrogę dla każdego przedsiębiorcy, który w swojej działalności przetwarza dane osobowe. Naruszenie ochrony danych może wystąpić zarówno w związku z błędem lub celowym działaniem pracownika, jak również w wyniku coraz częstszych ataków cyberprzestępców. Ponadto, jak miało to miejsce chociażby w przypadku Santander Bank, nośnik zawierający dane osobowe może zostać zgubiony lub skradziony w trakcie transportu, poza siedzibą Administratora.
W przypadku każdego naruszenia, czy też samego podejrzenia, że do naruszenie mogło dojść, to na Administratorze ciąży obowiązek podjęcia odpowiednich działań, wskazanych w przepisach RODO.
Jako specjaliści z wieloletnim stażem, posiadamy wiedzę oraz doświadczenie, dzięki którym możemy zaoferować Państwu skuteczną pomoc w przypadku wystąpienia naruszenia ochrony danych. Ponadto w ramach świadczonych przez Nas usług pomożemy Państwu stworzyć skuteczne procedury dla ochrony danych osobowych, dzięki czemu zminimalizowane zostanie ryzyko ich wystąpienia. Jeśli chcą Państwo zwiększyć bezpieczeństwo swoich danych osobowych oraz uniknąć otrzymania wysokich kar finansowych, zapraszamy do kontaktu.