Wyciek danych z mBanku miał miejsce 30 czerwca 2022 roku. Dane osobowe klientów trafiły do nieuprawnionej osoby w wyniku błędu pracownika, który przez pomyłkę przesłał dokumenty do innej instytucji finansowej. Chociaż dokumenty wróciły do banku, koperta została otwarta, co stwarzało ryzyko wglądu do informacji przez osoby nieupoważnione. W dokumentach znajdowały się dane takie jak nazwiska, imiona, numery PESEL, miejsce zamieszkania, numery dowodów osobistych oraz informacje dotyczące majątku i zarobków.
mBank nie zawiadomił klientów o wycieku, mimo że prezes UODO wskazał na konieczność podjęcia takich działań. Bank argumentował, że dokumenty trafiły do instytucji, która również podlega tajemnicy bankowej i ma status podmiotu zaufanego. Pracownicy tej instytucji potwierdzili, że nie posiadają kopii dokumentów, a mBank uznał, że nie było potrzeby ujawniania sprawy. Nałożona kara w wysokości czterech milionów złotych stanowi 0,024 (24 tysięczne) procent obrotów banku.
mBank ukarany. Bankowi się upiekło, kara mogła być znacznie większa
Prezes UODO nie uznał stanowiska mBanku w zakresie podmiotu zaufanego. Ponadto uznał, że możliwość ujawnienia takiej ilości danych tworzy dla osób, których one dotyczą, ogromne ryzyko. Ponieważ nie zostały o problemie powiadomione, nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia.
Bank rozumował błędnie, skupiając się tylko na tym, kto miał dostęp do ujawnionych danych. W wyjaśnieniach bazował na zapewnieniach, ze strony osób mających dostęp do ujawnionych danych, o tym, że nic złego się nie stało. To za mało
- czytamy w komunikacie UODO.
"Przy analizowaniu takiej sytuacji należy zawsze wziąć pod uwagę także prawa osób, których naruszenie dotyczyło. Podkreślenia wymaga fakt, że przestrzeganie innych tajemnic prawnie chronionych nie zwalnia ze stosowania RODO" argumentuje urząd.
W ocenie Prezesa UODO przedmiotowe działanie banku jest przykładem lekceważenia praw osób, których dane osobowe administrator przetwarza. "Biorąc pod uwagę to, że zgodnie z przepisami RODO kara mogłaby wynieść 337 milionów złotych, należy ją uznać za stosunkowo łagodną. Na podstawie analiz spraw, które docierają do organu nadzorczego, można założyć, że przyjęta praktyka nieinformowania osób, których dane zostały naruszone, uzasadniana jak w przypadku omawianego naruszenia ochrony danych osobowych, jest przejawem systemowej postawy (polityki) banku, co zasługuje na wyjątkowo negatywną ocenę Prezesa UODO" - podsumowuje Urząd.
mBank odpowiada. Instytucja nie zmieniła argumentacji
Jak ustalił TVN24, mBank nie zgadza się z decyzją UODO i zapowiedział odwołanie do Wojewódzkiego Sądu Administracyjnego w Warszawie. Firma przypomniała, że problem, który dotyczył trzech klientów, sama zgłosiła do Urzędu. Mimo że UODO odrzuciło tłumaczenia mBanku, ten nie zmienił swojej linii argumentacyjnej i dalej utrzymuje, że dokumenty pozostały więc w gronie osób, które zobowiązane są do stosowania tajemnicy bankowej oraz miały upoważnienie do przetwarzania danych zgodnie z RODO.
"Naszą argumentację dot. oceny tego zdarzenia przekazaliśmy Prezesowi UODO jeszcze w 2022 r. Zawierała ona również prośbę o powtórną ocenę wydanej decyzji o konieczności poinformowania naszych klientów o tym zdarzeniu. Niestety, nie otrzymaliśmy finalnej odpowiedzi ze strony UODO. Od początku współpracujemy z Urzędem i na każde przesłane do nas pytanie odpowiadaliśmy rzetelnie i dokładnie. W świetle tych faktów uważamy, że zastosowana wobec nas kara jest nieadekwatna" - podkreślił mBank.
