LexDigital

Gigantyczna kara UODO dla Santander Bank Polska

​ Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. Dane osobowe klientów banku zostały porzucone na osiedlu, a informacje o sprawie dotarły do UODO z mediów.

Gigantyczna kara UODO dla Santander Bank Polska

Santander miał wiedzę o incydencie, ale nie poinformował klientów

UODO wzięło bank pod lupę w sierpniu 2022 r. Wtedy to urząd dowiedział się z artykułu internetowego o upublicznieniu dokumentów bankowych znajdujących się w porzuconej na terenie jednego z osiedli przesyłce, po tym jak została ona uprzednio skradziona w czasie transportu w firmie kurierskiej.

Po incydencie Sandanter nie skontaktował się z organem nadzorczym.
Po incydencie Sandanter nie skontaktował się z organem nadzorczym.


Jak czytamy w komunikacie, w przesyłce były informacje o 158 osobach - dane osobowe takie jak imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych. Sam artykuł opublikowany został w listopadzie 2018 r., wtedy też miał miejsce incydent.

kra uodo wysokość
Wysokość kary zależy m.in od tego, jaki był czas trwania naruszenia i kategorie danych osobowych w sprawie


(...) pismem z dnia 25 sierpnia 2022 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Banku  o wyjaśnienie, czy w związku z zaistniałym zdarzeniem Bank zgłosił, w trybie art. 33 rozporządzenia 2016/679, Prezesowi UODO naruszenie ochrony danych osobowych  w powyższym zakresie, a jeśli tak, to kiedy i w jaki sposób tego dokonał i czy Bank dopełnił obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, w myśl art. 34 ust. 1 i 2 rozporządzenia 2016/679. Prezes UODO zwrócił się również o wskazanie: kiedy i w jaki sposób Bank ustalił, że doszło do upublicznienia wskazanych w piśmie dokumentów, liczby osób, których dotyczy przedmiotowe naruszenie ochrony danych osobowych, okresu z jakiego pochodzą upublicznione dokumenty oraz wyjaśnienie, jakie działania podjęto w celu zminimalizowania ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości.

– czytamy w decyzji prezesa UODO.

Konsekwencje braku odpowiedzi na pismo z UODO. Możesz zapłacić nawet 20 milionów euro

Stan faktyczny. Jak tłumaczy się bank?

Santander Bank Polska tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów.

Osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie wykonała kopii. W związku z powyższym również osoby, których dane dotyczą, nie zostały poinformowane o naruszeniu ochrony danych osobowych.

kara uodo podmiot przetwarzający
Dla UODO jest istotne, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie.


Bank opisał także, jakie działania podjęto w celu zmniejszenia ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości. Powołano grupę roboczą, której zadaniem była analiza zdarzenia oraz opracowanie mechanizmów pozwalających na zapobiegnięcie powstania podobnych sytuacji w przyszłości. Opracowano standard dla procesu wysyłki dokumentacji papierowej, przeprowadzono kontrolę alertową poprawności nadania przesyłek z dokumentacją i podjęto rozmowy z kurierem w zakresie procesu komunikacji.

kara uodo informacje
Informacja o naruszeniu przepisów RODO dotarła do UODO z mediów.


Prezes UODO wezwał bank do wskazania, na jakiej podstawie administrator uznał, że zaistniałe naruszenie ochrony danych osobowych klientów Santander Bank Polska S.A. nie wymaga zgłoszenia do organu nadzorczego oraz skutkuje brakiem konieczności zawiadomienia osób, których dotyczy naruszenie.

W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, pismem z dnia 19 grudnia 2022 r. Bank przesłał dodatkowe wyjaśnienia, w których wskazał, że naruszenie ochrony danych osobowych klientów Banku, zaistniałe w wyniku kradzieży przesyłki zawierającej dokumentację Banku w czasie jej transportu w firmie kurierskiej, a następnie porzuceniu otwartej przesyłki na zamkniętym osiedlu w K., zostało wpisane do Rejestru Naruszeń Danych Osobowych Santander Bank Polska S.A., pod numerem (…). Ocena ryzyka naruszenia praw i wolności podmiotu danych została ustalona na poziomie niskim, a na taką ocenę wpłynęły następujące okoliczności: przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera; Bank zweryfikował, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji; osoba ta przyznała, że nie kopiowała dokumentów.

– czytamy w dokumentacji UODO.

W efekcie wspomnianej oceny incydent nie został zgłoszony do Urzędu Ochrony Danych Osobowych. Jednocześnie bank nie zdecydował się również na zawiadomienie osób, których dotyczy to naruszenie.

kara uodo za co
Osoby, których dane mogły zostać zagrożone nie dostały informacji od banku.


Czy na pewno nikt nie miał dostępu do tych informacji?

Prezes UODO w swojej decyzji wskazał jednak, że w przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.

Zaznaczył przy tym, że brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje.

uodo kara santander
UODO pilnuje przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych.

Sprawdź nasz artykuł: Dzień hasła – zasady tworzenia i zarządzania hasłami

Brak zgłoszenia naruszenia ochrony danych osobowych UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i minimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu minimalizacji ryzyka ponownego wystąpienia naruszeń.

kary rodo
UODO pilnuje przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych.


Prezes UODO w toku postępowania uznał też, że bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę.

Ponadto administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki. Sam fakt kradzieży przesyłki powinien wpłynąć na właściwą i adekwatną do okoliczności ocenę tego incydentu, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.

Kiedy jest potrzebna zgoda na przetwarzanie danych osobowych?

Organ nadzorczy dowiedział się o sprawie z mediów. Kara UODO dla Santandera

Wysokość kary zależna jest od takich czynników jak między innymi: charakter i waga czynu, czas trwania naruszenia, liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody, kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO, rodzaj działań podjętych w celu zmniejszenia szkody. Istotne jest też ustalenie, w jakim stopniu administrator lub podmiot przetwarzający dane są odpowiedzialne za naruszenie i stopień współpracy z organem nadzorczym. Więcej na temat kar RODO dowiesz się z naszego artykułu.

współpraca z uodo kary
Wysokość kary zależy m.in od tego, jak dana firma współpracuje z UODO.


UODO wskazało, że to kolejne naruszenie przepisów przez Santander Bank Polska. W 2022 Urząd nałożył na bank karę 545 tys. zł za podobną sprawę.

Z przedstawionego przez Administratora „Raportu Rocznego Santander Bank Polska S.A. za 2022 rok” wynika, że łączne przychody Banku (tj. odsetkowe, z tytułu prowizji oraz  z tytułu dywidend) w 2022 r. wyniosły 13.061.886.000,- PLN, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,01% ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary 1 440 549,-PLN to zaledwie 0,55% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 maksimum kary w wysokości do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego (tj. 261.237.720 PLN) – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia.

Oprócz wspomnianej kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.

Skan dowodu osobistego - czy to w ogóle legalne?

Informacje takie jak PESEL wystarczą do wyłudzenia kredytu

UODO podkreśla, że spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:

  • Wyrok  Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z dnia 13 sierpnia 2020 r.  w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe
  • Wyrok Sądu Rejonowego w Piszu z dnia 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu  o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (...)”;
  • Wyrok Sądu Rejonowego w Puławach z dnia 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…]  dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy -  w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.
rozporządzenie rodo informacje
Informacje, które znalazły się w przesyłce wystarczyły, by dokonać przestępstwa.


Outsourcing funkcji IOD. Przekaż nam pełnienie funkcji Inspektora Ochrony Danych Osobowych w swojej firmie!

Kara UODO. Santander będzie się odwoływać

Jak podaje TVN24, Santander Bank Polska nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego. Zapowiedział to Jarosław Dobosz, Inspektor Ochrony Danych w Santander Bank Polska.

Jak zauważył, kara dotyczy zdarzenia z 2018 roku. "Bank po zdarzeniu podjął działania zgodne z przepisami RODO, a w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości" - zapewnił Dobosz.

santander kara od uodo
Piłka jest teraz po stronie banku. Santander zamierza odwołać się od decyzji UODO.


"Bank nie zgłosił naruszenia do UODO i nie powiadomił klientów, gdyż ocenił, że w okolicznościach faktycznych tego zdarzenia oraz wobec podjętych przez Bank działań było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności klientów (przesłanka do niezgłaszania naruszenia do PUODO)" - wyjaśnił inspektor.

Jak przekazał, według banku "zostały dopełnione wszystkie procedury związane z naruszeniem ochrony danych i tego stanowiska będzie bronił przed sądem".

uodo kary dla santander
UODO ma prawo nałożyć surowe kary.


Kara UODO również dla Toyota Banka Polska

Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Jak podaje Urząd, administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.  

Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości).

toyota kara uodo
UODO podało informacje o nałożeniu grzywny na Toyota Bank Polska.


W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.

Toyota Bank Polska do momentu publikacji nie odpowiedział na naszą prośbę o komentarz.

Tekst powstał w oparciu o dokumentację UODO na temat powyższych naruszeń. Znajdziesz ją pod tymi adresami: DKN.5131.59.2022 oraz DKN.5131.28.2023.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Baza newslettera LexDigital

Baza newslettera LexDigital

Zapraszamy do zapoznania się z archiwalnymi wydaniami newslettera LexDigital. W środku znajdą Państwo bezpłatne, pogłębione analizy naszych ekspertów.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk