Prezes Urzędu Ochrony Danych Osobowych nałożył na mBank karę przekraczającą 4 miliony złotych za niezawiadomienie poszkodowanych o wycieku ich danych. Choć kwota może wydawać się znacząca, stanowi jedynie niewielką część całkowitych obrotów banku, co pokazuje, że bank stać na więcej odpowiedzialności w tej kwestii. Niestety - kara trafi do nas tylko teoretycznie, bo zasili Skarb Państwa, a nie osoby bezpośrednio dotknięte tym naruszeniem.
Wyciek danych klientów mBanku
Sprawa dotyczy zdarzenia z czerwca 2022 roku, kiedy to osobiste dane klientów mBanku trafiły w niepowołane ręce. Co więcej, bank, zamiast natychmiast powiadomić swoich klientów, zdecydował się na ukrycie całej sprawy, argumentując, że wyciek nastąpił do instytucji, która także podlega tajemnicy bankowej i jest uznawana za „zaufaną”. Dokumenty, które omyłkowo trafiły do innej instytucji finansowej, obejmowały bardzo wrażliwe dane, takie jak nazwiska, numery PESEL, dane dotyczące zarobków, a nawet numery dowodów osobistych klientów. W praktyce oznacza to, że osoby trzecie mogły uzyskać dostęp do szerokiego spektrum informacji o klientach, co stawia ich w potencjalnie ryzykownej sytuacji.
mBank, zamiast działać zgodnie z przepisami RODO i natychmiast poinformować swoich klientów o zagrożeniu, zdecydował się na przemilczenie całej sytuacji. W swoich wyjaśnieniach bank tłumaczył, że instytucja, która otrzymała dane, nie jest obca i podlega tym samym regulacjom, dlatego ryzyko wycieku było minimalne. Prezes UODO jednak nie podzielił tego stanowiska. W jego opinii, nawet jeśli dokumenty trafiły do instytucji zaufanej, to nadal istnieje poważne ryzyko, że osoby nieuprawnione mogły uzyskać dostęp do tych danych. W tym przypadku kluczowe było nie tyle, kto miał dostęp do danych, co fakt, że klienci nie zostali o niczym poinformowani.
Brak informacji o wycieku uniemożliwił poszkodowanym podjęcie kroków zapobiegających potencjalnym nadużyciom
Klienci nie mogli zabezpieczyć swoich kont, zastrzec dokumentów czy też podjąć innych działań, które mogłyby ochronić ich przed możliwymi konsekwencjami takiego naruszenia.
Prezes UODO wyraził surową krytykę wobec praktyk mBanku, podkreślając, że bank, ignorując obowiązek poinformowania swoich klientów, zlekceważył ich prawa do ochrony prywatności. Co więcej, nałożona kara, choć znaczna, jest stosunkowo niska w porównaniu do maksymalnej możliwej wysokości, która mogła wynieść nawet 337 milionów złotych. W opinii UODO, kara miała być jednak adekwatna do skali naruszenia i stanowić przestrogę dla innych instytucji finansowych.
Cała sytuacja jest kolejnym przykładem, jak istotne jest przestrzeganie przepisów dotyczących ochrony danych osobowych. Klienci banków powinni mieć pewność, że ich dane są bezpieczne, a w przypadku jakiegokolwiek naruszenia, instytucja powinna niezwłocznie poinformować ich o zagrożeniu. Zaniedbanie tego obowiązku podważa zaufanie do instytucji finansowej i naraża klientów na poważne ryzyko.
Wnioski z tej sprawy są jednoznaczne – niezależnie od skali wycieku, każda instytucja ma obowiązek informowania klientów o naruszeniach. W przeciwnym razie, naraża się na surowe kary, a przede wszystkim na utratę zaufania ze strony swoich klientów
