MBank наказан UODO за утечку персональных данных

Президент Управления по защите персональных данных (UODO) наложил штраф в размере более 4 миллионов злотых на mBank за неспособность информировать клиентов о безопасности их персональных данных. Хотя размер штрафа может показаться большим, он составляет всего 0,0024% годового оборота банка.

Что случилось? Ошибка в обработке персональных данных

30 июня 2022 года произошёл серьёзный инцидент, связанный с защитой персональных данных клиентов mBank. Сотрудник компании, обрабатывающий данные от имени банка, по ошибке отправил документы клиента в другое финансовое учреждение. Хотя документы были возвращены в банк, конверт уже был открыт. Управление по защите персональных данных указало, что существует вероятность того, что третьи стороны имеют доступ к данным и поэтому могут быть проконсультированы.

Данные, поступившие к несанкционированному грузополучателю, включали очень конфиденциальную информацию, такую как имена, имена, имена родителей, даты рождения, номера банковских счетов, адреса проживания, номера PESEL, информацию о доходах, фамилии матери, номера серий и идентификационных карт, а также данные о кредитах и имуществе. Такая информация может быть использована для многих форм злоупотреблений, включая кражу личных данных.

Банк не информировал клиентов - почему?

После сообщения о нарушении UODO mBank был проинформирован о необходимости принять меры для информирования пострадавших клиентов об утечке данных. Однако банк решил не информировать клиентов, объяснив свои действия тем, что документы были направлены в учреждение, которое также подлежит банковской тайне. mBank посчитал, что поскольку принимающий финансовый институт является доверенным лицом, нет необходимости уведомлять клиентов об инциденте.

Сотрудники учреждения, в которое были ошибочно направлены документы, заверили, что копий неправильно отправленных материалов сделано не было. Банк посчитал, что это достаточный повод не раскрывать дело клиентам, исходя из полученных организацией заверений.

Президент UODO: «Огромный риск для клиентов»

Президент УОДО не согласился с доводами банка. При оценке UODO mBank проигнорировал риск, связанный с раскрытием такого большого объема данных клиентам. Как подчеркивается в сообщении, банк сосредоточился только на том, кто имел доступ к раскрытым данным, игнорируя обязательство уведомлять субъектов данных.

В соответствии с Руководящим принципом 9/2022 статус получателя не предопределяет, может ли он считаться «доверенным получателем». Важно иметь прямые и постоянные отношения между грузоотправителем и получателем неверных отправленных документов. Эти отношения должны основываться на долгосрочном сотрудничестве, что позволяет контроллеру разумно ожидать, что получатель не будет пытаться получить доступ к личным данным и не предпримет никаких дальнейших действий в отношении их получения.

Президент УОДО также подчеркнул, что «соблюдение других охраняемых законом секретов не освобождает от применения GDPR». Это означает, что даже если учреждение, в которое были получены данные, подлежит банковской тайне, банк должен был уведомить клиентов о нарушении, чтобы они могли принять соответствующие превентивные меры.

Штраф мог быть и выше - до 337 млн злотых

В оценке УОДО деятельность банка является примером пренебрежения правами лиц, данные которых были обработаны. Хотя штраф составляет более 4 миллионов злотых, он может быть намного выше. Согласно регламенту GDPR, максимальный штраф может составить до 337 миллионов злотых, что делает нынешние санкции относительно мягкими.

Решение президента является окончательным и не может быть обжаловано. Единственный путь для осужденного - подать жалобу в административный суд. Первая инстанция — Провинциальный административный суд в Варшаве и следующий Верховный административный суд.

Резюме

Дело mBank является важным напоминанием о необходимости соблюдения положений GDPR, особенно в контексте информирования людей о нарушениях их персональных данных. Даже если данные передаются в учреждение, на которое распространяется профессиональная тайна, контроллер данных необходим для защиты интересов субъектов данных, и их права должны быть приоритетными.

Стоит следить за дальнейшими событиями, особенно в контексте возможных судебных исков со стороны mBank в ответ на решение УОДО.