Partnerzy strategiczni
Partnerzy wspierający
Partnerzy wspierający
Partnerzy wspierający
Partnerzy merytoryczni
Dwa banki ukarane przez Prezesa UODO. Santander i Toyota Bank Polska muszą zapłacić łącznie prawie 1,5 mln zł

Instytucje nie zgłosiły urzędowi, że doszło do upublicznienia wrażliwych danych swoich klientów

Prezes Urzędu Ochrony Danych Osobowych, Mirosław Wróblewski, ukarał finansowo dwie instytucje za niezgłoszenie naruszenia ochrony danych osobowych. W wyniku tej decyzji Santander Bank Polska musi zapłacić ponad 1,4 mln zł, a Toyota Bank Polska 78 tys. zł.

Przeczytajcie także: Usługa Amazon One została ulepszona

W przypadku pierwszej instytucji naruszenie polegało na upublicznieniu dokumentów bankowych znajdujących się w przesyłce. Została skradziona kurierowi, porzucona, a następnie dostarczona na posterunek policji przez osobę, która ją znalazła. W przesyłce znajdowały się dokumenty zawierające m.in. imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, a także informacje o zarobkach czy seria i numery dowodu osobistego.

Urząd podaje, że dowiedział się o naruszeniu ochrony danych z mediów. Administrator danych, czyli Santander, tłumaczył, że nie zgłosił zajścia, ponieważ przesyłka została odnaleziona w krótkim czasie po jej utracie przez kuriera. W paczce nic nie brakowało, a znalazca zaniósł ją bezpośrednio na posterunek policji i oświadczył, że nie skopiował dokumentów.

Przeczytajcie także: Poczta rejestruje logo Pocztomat

Prezes UODO wskazał jednak, że administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki. Na właściwą ocenę sytuacji powinien wpłynąć sam fakt kradzieży. Dodano, że ryzyko naruszenia praw powinno być oceniane przez pryzmat osoby zagrożonej, a nie administratora danych.

Z kolei Toyota Bank Polska został ukarany za naruszenie polegające na wysłaniu danych do nieuprawnionego odbiorcy. Mogło to prowadzić np. do kradzieży tożsamości. Organ nadzorczy zaznaczył w swojej decyzji, że administrator nie ma pewności, czy przed zwrotem korespondencji błędny odbiorca nie wykonał kopii zawartych w treści umowy danych osobowych. Problem polegał też na tym, że bank zgłosił naruszenie półtora roku po jego wystąpieniu. Nastąpiło to po interwencji samego urzędu, do którego wpłynęła skarga od osoby poszkodowanej.

UDOSTĘPNIJ TEN ARTYKUŁ

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies