Gigantyczna kara UODO dla Santander Bank Polska
Prezes Urzędu Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł na Santander Bank Polska S.A. Dane osobowe klientów banku zostały porzucone na osiedlu, a informacje o sprawie dotarły do UODO z mediów.
Santander miał wiedzę o incydencie, ale nie poinformował klientów
UODO wzięło bank pod lupę w sierpniu 2022 r. Wtedy to urząd dowiedział się z artykułu internetowego o upublicznieniu dokumentów bankowych znajdujących się w porzuconej na terenie jednego z osiedli przesyłce, po tym jak została ona uprzednio skradziona w czasie transportu w firmie kurierskiej.
Jak czytamy w komunikacie, w przesyłce były informacje o 158 osobach - dane osobowe takie jak imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych. Sam artykuł opublikowany został w listopadzie 2018 r., wtedy też miał miejsce incydent.
(...) pismem z dnia 25 sierpnia 2022 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Banku o wyjaśnienie, czy w związku z zaistniałym zdarzeniem Bank zgłosił, w trybie art. 33 rozporządzenia 2016/679, Prezesowi UODO naruszenie ochrony danych osobowych w powyższym zakresie, a jeśli tak, to kiedy i w jaki sposób tego dokonał i czy Bank dopełnił obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, w myśl art. 34 ust. 1 i 2 rozporządzenia 2016/679. Prezes UODO zwrócił się również o wskazanie: kiedy i w jaki sposób Bank ustalił, że doszło do upublicznienia wskazanych w piśmie dokumentów, liczby osób, których dotyczy przedmiotowe naruszenie ochrony danych osobowych, okresu z jakiego pochodzą upublicznione dokumenty oraz wyjaśnienie, jakie działania podjęto w celu zminimalizowania ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości.
– czytamy w decyzji prezesa UODO.
Konsekwencje braku odpowiedzi na pismo z UODO. Możesz zapłacić nawet 20 milionów euro
Stan faktyczny. Jak tłumaczy się bank?
Santander Bank Polska tłumaczył, że nie zgłosił tego naruszenia, gdyż przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera. Ponadto ustalono, że nie brakowało w niej żadnych dokumentów.
Osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji i oświadczyła, że nie wykonała kopii. W związku z powyższym również osoby, których dane dotyczą, nie zostały poinformowane o naruszeniu ochrony danych osobowych.
Bank opisał także, jakie działania podjęto w celu zmniejszenia ryzyka ponownego wystąpienia tego typu zdarzeń w przyszłości. Powołano grupę roboczą, której zadaniem była analiza zdarzenia oraz opracowanie mechanizmów pozwalających na zapobiegnięcie powstania podobnych sytuacji w przyszłości. Opracowano standard dla procesu wysyłki dokumentacji papierowej, przeprowadzono kontrolę alertową poprawności nadania przesyłek z dokumentacją i podjęto rozmowy z kurierem w zakresie procesu komunikacji.
Prezes UODO wezwał bank do wskazania, na jakiej podstawie administrator uznał, że zaistniałe naruszenie ochrony danych osobowych klientów Santander Bank Polska S.A. nie wymaga zgłoszenia do organu nadzorczego oraz skutkuje brakiem konieczności zawiadomienia osób, których dotyczy naruszenie.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, pismem z dnia 19 grudnia 2022 r. Bank przesłał dodatkowe wyjaśnienia, w których wskazał, że naruszenie ochrony danych osobowych klientów Banku, zaistniałe w wyniku kradzieży przesyłki zawierającej dokumentację Banku w czasie jej transportu w firmie kurierskiej, a następnie porzuceniu otwartej przesyłki na zamkniętym osiedlu w K., zostało wpisane do Rejestru Naruszeń Danych Osobowych Santander Bank Polska S.A., pod numerem (…). Ocena ryzyka naruszenia praw i wolności podmiotu danych została ustalona na poziomie niskim, a na taką ocenę wpłynęły następujące okoliczności: przesyłka została odnaleziona przez jedną zidentyfikowaną osobę w krótkim czasie, po jej utracie przez kuriera; Bank zweryfikował, że nie brakuje żadnych dokumentów; osoba, która znalazła dokumenty, zaniosła je bezpośrednio na posterunek policji; osoba ta przyznała, że nie kopiowała dokumentów.
– czytamy w dokumentacji UODO.
W efekcie wspomnianej oceny incydent nie został zgłoszony do Urzędu Ochrony Danych Osobowych. Jednocześnie bank nie zdecydował się również na zawiadomienie osób, których dotyczy to naruszenie.
Czy na pewno nikt nie miał dostępu do tych informacji?
Prezes UODO w swojej decyzji wskazał jednak, że w przypadku wystąpienia naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora.
Zaznaczył przy tym, że brak zawiadomienia o naruszeniu ochrony danych osobowych osób dotkniętych tym naruszeniem, w przypadku wystąpienia wysokiego ryzyka naruszenia ich praw lub wolności, pozbawia je nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które może powodować dla nich poważne konsekwencje.
Sprawdź nasz artykuł: Dzień hasła – zasady tworzenia i zarządzania hasłami
Brak zgłoszenia naruszenia ochrony danych osobowych UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i minimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu minimalizacji ryzyka ponownego wystąpienia naruszeń.
Prezes UODO w toku postępowania uznał też, że bez znaczenia jest również to, że dane zostały udostępnione tylko jednej zidentyfikowanej osobie. Liczy się bowiem fakt, że przesyłka została odnaleziona przez tę osobę.
Ponadto administrator nie ma pewności, ile osób mogło wcześniej mieć dostęp do porzuconej przesyłki. Sam fakt kradzieży przesyłki powinien wpłynąć na właściwą i adekwatną do okoliczności ocenę tego incydentu, w tym ocenę pod kątem ryzyka naruszenia praw lub wolności osób fizycznych.
Kiedy jest potrzebna zgoda na przetwarzanie danych osobowych?
Organ nadzorczy dowiedział się o sprawie z mediów. Kara UODO dla Santandera
Wysokość kary zależna jest od takich czynników jak między innymi: charakter i waga czynu, czas trwania naruszenia, liczba poszkodowanych osób i rozmiar poniesionej przez nich szkody, kategorie danych osobowych, których dotyczyło naruszenie przepisów RODO, rodzaj działań podjętych w celu zmniejszenia szkody. Istotne jest też ustalenie, w jakim stopniu administrator lub podmiot przetwarzający dane są odpowiedzialne za naruszenie i stopień współpracy z organem nadzorczym. Więcej na temat kar RODO dowiesz się z naszego artykułu.
UODO wskazało, że to kolejne naruszenie przepisów przez Santander Bank Polska. W 2022 Urząd nałożył na bank karę 545 tys. zł za podobną sprawę.
Z przedstawionego przez Administratora „Raportu Rocznego Santander Bank Polska S.A. za 2022 rok” wynika, że łączne przychody Banku (tj. odsetkowe, z tytułu prowizji oraz z tytułu dywidend) w 2022 r. wyniosły 13.061.886.000,- PLN, w związku z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,01% ww. kwoty wpływów. Jednocześnie warto podkreślić, że kwota nałożonej kary 1 440 549,-PLN to zaledwie 0,55% maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 maksimum kary w wysokości do 2% całkowitego rocznego obrotu z poprzedniego roku obrotowego (tj. 261.237.720 PLN) – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia.
Oprócz wspomnianej kary, Prezes UODO nakazał administratorowi powiadomienie osób, których dotyczy to naruszenie w ciągu trzech dni od daty otrzymania decyzji.
Skan dowodu osobistego - czy to w ogóle legalne?
Informacje takie jak PESEL wystarczą do wyłudzenia kredytu
UODO podkreśla, że spraw związanych z wyłudzeniami kredytów, gdzie nieznane osoby dysponują zazwyczaj jedynie imieniem i nazwiskiem oraz prawidłowym numerem PESEL (pozostałe dane są nieprawdziwe), jest wciąż bardzo wiele, co potwierdzają wydawane przez sądy wyroki w tych sprawach. Poniżej kilka przykładowych:
- Wyrok Sądu Rejonowego dla Łodzi-Widzewa w Łodzi z dnia 13 sierpnia 2020 r. w sprawie o sygn. akt II C 1145/19, w której nieznana pozwanemu osoba trzecia weszła bezprawnie w posiadanie jego numeru PESEL oraz numeru dowodu osobistego, zaś pozostałe dane adresowe - wskazane w umowie pożyczki - były nieprawdziwe
- Wyrok Sądu Rejonowego w Piszu z dnia 21 sierpnia 2020 r., sygn. akt I C 260/20 – „[…] Sąd ustalił, że przy zawieraniu przedmiotowej umowy, w sposób nieuprawniony posłużono się danymi pozwanego i wpisano je, jako dane pożyczkobiorcy, przy czym to nie pozwany był stroną umowy. Stanowisko pozwanego znajduje potwierdzenie w zgłoszonym przez niego zawiadomieniu o popełnieniu przestępstwa oszustwa na jego szkodę, jak również w fakcie, że prokuratura prowadzi postępowanie w tej sprawie przeciwko wskazanej przez pozwanego osobie. Na marginesie należy zauważyć, że także w ramach toczących się przed tutejszym sądem postępowań o zapłatę sygn. akt I C 1/19 i I C 482/19, gdzie E. M. także występował w charakterze pozwanego, i gdzie doszło do zaciągnięcia na jego imię i nazwisko zobowiązań finansowych w takich samych okolicznościach, co w ramach niniejszego postępowania, również zapadły prawomocne wyroki oddalające powództwo. W ocenie sądu okoliczności zawarcia umowy z powodem, gdzie tożsame jest pierwsze imię i nazwisko pożyczkobiorcy oraz jego numer PESEL, zaś istnieje rozbieżność co do pozostałych danych wynikających z treści dowodu osobistego pozwanego tj. serii i numeru tego dokumentu, adresu zamieszkania, przy uwzględnieniu faktu prowadzenia procesu karnego w stosunku do osoby, która miała podszyć się pod pozwanego, celem zawierania na odległość umów i zaciągania zobowiązań finansowych w różnych instytucjach, wskazują jednoznacznie, iż to nie pozwany zawarł z poprzednikiem prawnym powoda umowę pożyczki nr (...)”;
- Wyrok Sądu Rejonowego w Puławach z dnia 7 kwietnia 2022 r. w sprawie o sygn. akt I C 475/19, w której Sąd jednoznacznie przyznał, iż „[…] dowodu pozwalającego na weryfikację pozwanego jako strony przedmiotowej umowy nie stanowi samo wskazanie jego danych osobowych: imienia nazwiska, numeru PESEL, a także serii i numeru dowodu osobistego w treści umowy - w szczególności w sytuacji, gdy pożyczka zawierana jest za pośrednictwem platformy internetowej, a więc co oczywiste, pożyczkodawca nie ma możliwości niejako bezpośredniej weryfikacji tożsamości drugiej strony, a sama umowa nie zostaje potwierdzona podpisem pożyczkobiorcy”.
Kara UODO. Santander będzie się odwoływać
Jak podaje TVN24, Santander Bank Polska nie zgadza się z decyzją i wniesie skargę do Wojewódzkiego Sądu Administracyjnego. Zapowiedział to Jarosław Dobosz, Inspektor Ochrony Danych w Santander Bank Polska.
Jak zauważył, kara dotyczy zdarzenia z 2018 roku. "Bank po zdarzeniu podjął działania zgodne z przepisami RODO, a w tym zarejestrował zdarzenie w rejestrze i dążył do zminimalizowania ryzyka ponownego wystąpienia tego typu sytuacji w przyszłości" - zapewnił Dobosz.
"Bank nie zgłosił naruszenia do UODO i nie powiadomił klientów, gdyż ocenił, że w okolicznościach faktycznych tego zdarzenia oraz wobec podjętych przez Bank działań było mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw i wolności klientów (przesłanka do niezgłaszania naruszenia do PUODO)" - wyjaśnił inspektor.
Jak przekazał, według banku "zostały dopełnione wszystkie procedury związane z naruszeniem ochrony danych i tego stanowiska będzie bronił przed sądem".
Kara UODO również dla Toyota Banka Polska
Prezes UODO ukarał także Toyota Bank Polska S.A. W tym przypadku kara wyniosła 78 tys. zł i została nałożona za niezgłoszenie prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Jak podaje Urząd, administrator zgłosił naruszenie ochrony danych półtora roku po jego wystąpieniu, w momencie gdy zwrócił się do niego organ nadzorczy po otrzymaniu skargi od osoby poszkodowanej tym naruszeniem.
Naruszenie polegało na wysłaniu przez bank danych osoby do nieuprawnionego odbiorcy. Zakres danych, zawartych w korespondencji, powodował wystąpienie wysokiego ryzyka dla praw i wolności osoby, której dane ujawniono (np. ryzyko kradzieży tożsamości).
W decyzji organ nadzorczy zaznaczył też, że administrator nie ma pewności, czy przed zwrotem korespondencji, błędny odbiorca nie wykonał kopii lub też nie utrwalił zawartych w treści umowy danych osobowych w inny sposób, np. poprzez ich spisanie.
Toyota Bank Polska do momentu publikacji nie odpowiedział na naszą prośbę o komentarz.
Tekst powstał w oparciu o dokumentację UODO na temat powyższych naruszeń. Znajdziesz ją pod tymi adresami: DKN.5131.59.2022 oraz DKN.5131.28.2023.