Wyciek danych klientów banku. Pracownik wysłał list na zły adres: przepadły 4 miliony PLN
Imiona rodziców, informacje dotyczące rachunków bankowych, kredytów i nieruchomości - takie informacje dotyczące klientów jednego z największych banków działających w Polsce dostały się w niepowołane ręce. Teraz instytucja poniesie konsekwencje. Prezes UODO nałożył na mBank karę w wysokości ponad 4 mln zł. Do kogo trafiły poufne informacje?
Za co bank został ukarany?
Jedna z najbardziej rozpoznawalnych polskich instytucji finansowych musi zapłacić aż 4 mln zł za to, że nie zachowała procedur związanych z wyciekiem poufnych danych klientów. Sprawa dotyczy sytuacji z 30 czerwca 2022 r., kiedy dane osobowe grupy klientów mBanku trafiły w niepowołane ręce.
Do kogo trafiły dane o adresach i zarobkach klientów mBanku?
Jak podaje UODO, wszystko przez nieuwagę pracownika firmy przetwarzającej dane osobowe na zlecenie banku. Najprawdopodobniej przez pomyłkę przesłał dokumenty klientów do innej instytucji finansowej. Te wróciły do banku, ale koperta wcześniej została otwarta. Oznacza to, że wgląd do nich mogły mieć osoby trzecie. Nie ma pewności, czy rzeczywiście ktoś zaglądał w dane i się z nimi zapoznał . W dokumentach były informacje poufne dotyczące klientów, które często bywają wykorzystywane przez banki np. przy weryfikacji danych, czy decyzji o udzieleniu kredytu.
Jak informuje UODO, były to m.in. nazwiska i imiona, imiona rodziców, daty urodzenia, numery rachunku bankowego, adresy, numery PESEL, dane dotyczące zarobków, ale też np. posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego oraz informacje dotyczące posiadanych kredytów i nieruchomości. Jeżeli takie dane trafią do osoby, która ma złe intencje, mogą zostać wykorzystane nawet do popełnienia przestępstwa.
Urząd zwraca uwagę, że przepisy jasno mówią, co należy zrobić w sytuacji, gdy w banku dojdzie do podobnej pomyłki. Procedury zawarte w RODO wskazują, że trzeba koniecznie poinformować klientów o zdarzeniu, przedstawić możliwe konsekwencje i środki zaradcze, a także podać kontakt do inspektora ochrony danych osobowych, który mógłby udzielić więcej informacji o naruszeniu.
Klienci mieli prawo wiedzieć, gdzie trafiły ich dane
Jak informuje UODO, mBank nie zawiadomił klientów o sprawie, choć dostał od prezesa UODO informację, że powinien to zrobić.
Dlaczego klienci nie zostali poinformowani, że poufne informacje trafiły do instytucji, która nie miała do nich prawa? W wyjaśnieniach tłumaczono, że sytuacja nie była tak groźna, jak mogłoby się wydawać. Bank wskazywał, że pomyłka dotyczyła instytucji, którą także obowiązuje tajemnica bankowa , jest to podmiot, z którym bank współpracuje i który zdaniem banku ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii otrzymanych przez pomyłkę dokumentów. W opinii banku, sprawy nie trzeba było więc ujawniać. Prezesa UODO nie przekonały jednak te argumenty i uznał, że mimo to kara powinna zostać nałożona.
Choć dla zwykłego Kowalskiego kwota, jaką mBank ma teraz do zapłacenia byłaby ogromnym wydatkiem, UODO podaje, że 4 mln zł to zaledwie 24 tysięczne procenta obrotów banku.