W październiku br. Prezes Urzędu Ochrony Danych Osobowych nałożył na Bank Millenium S.A. wysoką karę, w wysokości 363 832 zł (80 000 €), za niezgłoszenie do organu naruszenia ochrony danych osobowych w ustawowym terminie 72h od momentu jego stwierdzenia, a także nieprawidłowe poinformowanie o nim osób dotkniętych zdarzeniem.
Zdarzenie
W 2019 roku zostały zgubione przez firmę kurierską dwie przesyłki zawierające dokumenty związane z procedurą założenia konta bankowego dwóch klientów Banku Millenium. Zakres danych osobowych zawartych w dokumentacji obejmował imiona i nazwiska, adresy zameldowania, PESEL, CIF oraz nr rachunku bankowego.
Klienci zostali poinformowani o zdarzeniu, jednak bank, będący w tej sytuacji administratorem danych osobowych po dokonaniu analizy uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem nie jest na tyle wysokie, aby naruszenie zgłosić do organu nadzorczego (UODO).
Prezes UODO podkreślił natomiast w decyzji, że „dla powstania obowiązku zawiadomienia o naruszeniu (…), nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, wystarczająca jest w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji”. Dodatkowo, za wskazaniami Grupy Roboczej art. 29 przypomniano, że „W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
Dodatkowo zaznaczono, że w przypadku konieczności poinformowania osób dotkniętych naruszeniem, należy spełnić wszystkie elementy wskazane w RODO (art. 34 ust.2).
Kara
UODO nałożył na Bank Millenium S.A. wysoką karę, w wysokości 363 832 zł ( 80 000 €), za niezgłoszenie do organu naruszenia ochrony danych osobowych w ustawowym terminie 72h od momentu jego stwierdzenia, a także nieprawidłowe poinformowanie o nim osób dotkniętych zdarzeniem.
Rekomendacja
Należy pamiętać o właściwym przetwarzaniu danych osobowych. Natomiast w przypadku wykrycia naruszenia, jak pokazuje niniejsza sprawa, niezbędne jest przeprowadzenie rzetelnej analizy pod kątem ryzyka naruszenia praw lub wolności osób dotkniętych takim naruszeniem. Jeżeli analiza wykaże, że nie ma prawdopodobieństwa wystąpienia takiego ryzyka, nie trzeba wówczas zgłaszać zdarzenia do organu. Należy jednak mieć na względzie fakt, że UODO będzie mógł zwrócić się o uzasadnienie takiej decyzji. W związku z tym wnioski z przeprowadzanych analiz należy odnotować w wewnętrznej ewidencji naruszeń.
Niniejszy alert ma charakter informacyjny i nie jest to porada prawna.