Im Oktober dieses Jahres verhängte der Präsident des Amtes für den Schutz personenbezogener Daten eine hohe Geldstrafe gegen die Bank Millenium SA in Höhe von 363.832 PLN (80.000 €), weil diese es versäumt hatte, eine Verletzung des Schutzes personenbezogener Daten innerhalb der gesetzlichen Frist von 72 Stunden nach deren Entdeckung der Behörde zu melden und die betroffenen Personen ordnungsgemäß darüber zu informieren.

Ereignis

Im Jahr 2019 verlor ein Kurierdienst zwei Pakete mit Unterlagen zur Kontoeröffnung für zwei Kunden der Millennium Bank. Die in den Dokumenten enthaltenen personenbezogenen Daten umfassten Namen, Adressen, die polnische Personenkennziffer (PESEL), die Steuernummer (CIF) und Bankkontonummern.

Die Kunden wurden über den Vorfall informiert, aber die Bank, die in diesem Fall für die Verarbeitung personenbezogener Daten verantwortlich ist, entschied nach einer Analyse, dass das Risiko negativer Folgen für die von der Datenschutzverletzung betroffenen Personen nicht hoch genug sei, um die Datenschutzverletzung der Aufsichtsbehörde (UODO) zu melden.

Der Präsident des Amtes für den Schutz personenbezogener Daten betonte in seiner Entscheidung, dass „für das Entstehen der Meldepflicht bei einer Datenschutzverletzung (...) es nicht erforderlich ist, dass die negativen Folgen der Verletzung tatsächlich eintreten; die bloße Möglichkeit (das Risiko) solcher Folgen genügt in diesem Zusammenhang.“ Darüber hinaus wurde in Übereinstimmung mit den Empfehlungen der Artikel-29-Datenschutzgruppe daran erinnert, dass „der Verantwortliche im Zweifelsfall die Datenschutzverletzung melden sollte, selbst wenn sich diese Vorsicht als übertrieben erweisen könnte .

Darüber hinaus wurde darauf hingewiesen, dass, falls es erforderlich ist, die von der Datenschutzverletzung betroffenen Personen zu informieren, alle in der DSGVO genannten Voraussetzungen erfüllt sein müssen (Artikel 34 Absatz 2).

Strafe

Das Amt für den Schutz personenbezogener Daten (UODO) verhängte gegen die Bank Millenium SA eine hohe Geldstrafe in Höhe von 363.832 PLN (80.000 €), weil sie es versäumt hatte, eine Verletzung des Schutzes personenbezogener Daten innerhalb der gesetzlichen Frist von 72 Stunden nach deren Entdeckung der Behörde zu melden und die von dem Vorfall betroffenen Personen nicht ordnungsgemäß zu informieren.

Empfehlung

Es ist wichtig, personenbezogene Daten stets ordnungsgemäß zu verarbeiten. Wird jedoch, wie in diesem Fall, eine Datenschutzverletzung festgestellt, ist eine gründliche Analyse unerlässlich, um das Risiko einer Beeinträchtigung der Rechte und Freiheiten der Betroffenen zu ermitteln. Ergibt die Analyse, dass ein solches Risiko unwahrscheinlich ist, besteht keine Meldepflicht gegenüber der zuständigen Behörde. Es ist jedoch zu beachten, dass das Amt für den Schutz personenbezogener Daten (UODO) eine Begründung für diese Entscheidung verlangen kann. Daher sollten die Ergebnisse der Analysen in den internen Aufzeichnungen zu Datenschutzverletzungen dokumentiert werden.

Diese Mitteilung dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.


|

    Haben Sie Fragen? Kontaktieren Sie uns – wir antworten Ihnen so schnell wie möglich.

    Beitragsaufrufe: 6