Zgubiono przesyłkę z danymi klientów. Bank ukarany
O naruszeniach bezpieczeństwa danych osobowych najczęściej mówimy w kontekście cyberbezpieczeństwa i wycieków danych w postaci cyfrowej. Tymczasem Urząd Ochrony Danych Osobowych właśnie nałożył wysoką karę na bank Santander za wyciek dokumentów w postaci fizycznej - do incydentu doszło po kradzieży przesyłki kurierskiej.
Wrażliwe dane na zagubionej przesyłce
Na Santander Bank Polska nałożono karę w wysokości 1 mln 440 tys. zł za to, że ten nie zgłosił naruszenia ochrony danych. Zamiast tego Prezes Urzędu Ochrony Danych Osobowych dowiedział się o sprawie z mediów. Przyczyną wycieku było porzucenie w miejscu publicznym przesyłki, która wcześniej została skradziona firmie kurierskiej.
Oprócz imion i nazwisk, danych adresowych oraz kontaktowych na paczce znalazły się też PESEL, kompletne dane dowodu osobistego, dane uwierzytelniania do konta (łącznie z hasłem!), a nawet informacje o zarobkach i produktach finansowych .
Urząd z wątpliwościami
Santander argumentował, że przesyłkę odnaleziono krótko po tym, jak skradziono ją kurierowi . Ponadto osobę, która znalazła paczkę, udało się zidentyfikować. Bezzwłocznie udała się ona z kompletem dokumentów na posterunek policji, a wewnątrz znajdowały się wszystkie dokumenty wysłane przez bank.
To jednak nie przekonało UODO - w ocenie urzędu bank ocenił ryzyko na swoją korzyść , a nie z zamiarem ochrony interesów osób, których dane zostały narażone. Z kolei brak zgłoszenia uniemożliwił odpowiednim organom właściwą ocenę ryzyka naruszenia, zgodną z obowiązującym prawem i standardami ochrony.
Nie tylko kara finansowa
Oprócz nałożenia na bank kary w wysokości 1,44 mln zł zobowiązano go także do powiadomienia wszystkich osób, których bezpieczeństwo danych zostało naruszone. W ocenie UODO fakt, że przesyłkę odnalazła jedna, konkretna osoba nie ma znaczenia, gdyż fakt naruszenia stanowi już to, że została ona porzucona. Ponadto nie sposób stwierdzić, czy dostępu do niej nie mieli wcześniej inni.