Kara dla banku Millenium za niezgłoszenie naruszenia i niepowiadomienie w pełni osób.

Kara dla banku Millenium za niezgłoszenie naruszenia i niepowiadomienie w pełni osób.

Na czym polegało naruszenie?

Firma kurierska zagubiła korespondencję zawierającą dane takie jak: imię, nazwisko, PESEL, adres zameldowania, numery rachunków bankowych, numer identyfikacyjny nadawany klientom banku.

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?

Prezes Urzędu Ochrony Danych Osobowych nałożył na Bank Millenium S.A. karę w wysokości ponad 363 tys. zł.

Dlaczego nałożono karę?

Źródłem powiadomienia dla Urzędu Ochrony Danych Osobowych (UODO) była skarga złożona na działania Banku. Jednak skarżący otrzymali wcześniej informację od Banku o zaistniałym zdarzeniu. Dlaczego więc nałożono karę? 

Otóż Bank w swoim wyliczeniu dot. ryzyka negatywnych konsekwencji dla osób, których naruszenie dotyczyło, uznał je na poziomie średnim. Na tej podstawie została podjęta decyzja o niezgłaszaniu tego naruszenia do UODO. 

Tymczasem, zgłoszeniu podlegają wszystkie te zdarzenia, przy których istnieje prawdopodobieństwo wyższe od małego szkodliwego wpływu na prawa i wolności osób, których dane dotyczą. Z kolei przy ryzyku wysokim, należy dodatkowo powiadomić osoby, których to naruszenie dotyczy.

Naruszone zostały przepisy art. 33 ust. 1 (zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu) i art. 34 ust. 1 (zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych) ogólnego rozporządzenia o ochronie danych (RODO).

UODO przypomniał przykładowy katalog ryzyk, które należy brać pod uwagę przy ocenie naruszenia: 

  1. kradzież lub sfałszowane tożsamości,
  2. straty finansów,
  3. naruszenie dobrego imienia,

i zaznaczył parę kwestii (wybrane fragmenty):

 „obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka.”

„nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się
z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych, które z uwagi na zakres danych należy uznać jako wysokie”.

zjawisko kradzieży tożsamości wciąż się nasila, o czym świadczą wpływające nieustannie do Urzędu sygnały od osób poszkodowanych, jak również administratorów zgłaszających naruszenia w tym zakresie.”

Pod koniec uzasadnienia swojej decyzji, organ nadzorczy wskazał okoliczności, które miały wpływ na wysokość kary:

  1. Charakter i waga naruszenia,
  2. Czas trwania naruszenia,
  3. Umyślny charakter naruszenia,
  4. Stopień współpracy z organem nadzorczym,
  5. Kategorie danych osobowych,
  6. Sposób w jaki organ nadzorczy dowiedział się o naruszeniu,

i dwie okoliczności łagodzące:

  1. Liczba poszkodowanych osób (2 osoby),
  2. Działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.

Rekomendacje naszych Inspektorów ochrony danych

  1. Należy mieć wdrożoną i trzeba stosować dokumentację związaną z postępowaniem dot. naruszeń ochrony danych osobowych. Przykładowo może to być Instrukcja postępowania związana z naruszeniami ochrony danych, która po krok po kroku, będzie wskazywać jak się zachować, kogo powiadomić itp. Dotyczy to również przygotowania metodyki oceniania takich zdarzeń w oparciu o zobiektywizowane wartości (np. algorytm ENISA). Wnioski
    z przeprowadzonej analizy należy udokumentować, gdyż UODO może zwrócić się
    o uzasadnienie decyzji niezgłoszenia naruszenia.
  2. Należy, z punktu widzenia osoby, która stwierdziła naruszenie, zawsze zawiadomić w pierwszej kolejności Administratora i Inspektora ochrony danych (jeśli został wyznaczony w Organizacji) lub osobę wyznaczoną. To są pierwsze punkty kontaktowe, które pozwalają wyjaśnić sprawę
    i podjąć odpowiednie środki naprawcze.
  3. Należy pamiętać, aby takie zdarzenia analizować przez pryzmat osób, których dane dotyczą,
    a więc priorytetem są konsekwencje jakie mogą spotkać właśnie te osoby. Nie powinniśmy brać tutaj pod uwagę potencjalnych dolegliwości dla Administratora i jego interesów (np. czasu i osób potrzebnych do „obsługi” tego zdarzenia). Postępujmy tak, jakbyśmy sami chcieli, żeby ktoś postąpił z naszymi danymi w takiej sytuacji.
  4. PESEL jest taką kategorią danych, że gdy pojawia się przy naruszeniu ochrony danych, to
    z dużym prawdopodobieństwem należy przyjąć, że to naruszenie należy zgłosić do Prezesa UODO. Jak Urząd sam wskazał, PESEL, jako krajowy numer identyfikacyjny, powinien podlegać wyjątkowej ochronie.
  5. Należy zapewnić personelowi cykliczne szkolenia z zakresu naruszeń ochrony danych osobowych, najlepiej na konkretnych przykładach takich zdarzeń.
  6. Rekomendujemy, aby w sytuacjach wątpliwych „zawyżać” ryzyko, czyli np. mając wątpliwość pomiędzy ryzykiem niskim i średnim, kierować się raczej w stronę tego wyższego wskaźnika (nawet jeśli okazałoby się, że było to działanie nadmiernie ostrożnościowe). 
  7. Rekomendujemy śledzić działalność UODO, czy to we własnym zakresie, czy konsultując się ze specjalistami w tej dziedzinie (np. wyznaczonym Inspektorem ochrony danych). Urząd
    w swoich publikacjach (np. informacjach na stronie internetowej, sprawozdaniach rocznych) wskazuje sytuacje naruszeń, które powinny nam służyć do rozeznania się jakie zdarzenia podlegają zgłoszeniu, a które z nich dodatkowo wymagają jeszcze poinformowania osób. To powinno znacznie ułatwiać dokonanie trafnej oceny zdarzenia.
  8. Rekomendujemy Państwu szczególną dbałość w opisywanym wyżej przedmiocie, gdyż niewłaściwe działania mogą istotnie wpływać na postrzeganie naszej Organizacji w oczach osób, których dane przetwarzamy. 

Dbajmy zatem o dane. Skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Autor: Patryk Makowski, Kierownik Projektu, CompNet Sp. z o.o.

Więcej można przeczytać na: https://uodo.gov.pl/pl/138/2211