Przesyłka z banku zawierająca dane klientów, m.in. imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, została skradziona firmie kurierskiej i porzucona. Uczciwy znalazca odniósł ją na policję. Bank został poinformowany o zdarzeniu, ale nie wszczął żadnych procedur wynikających z naruszenia ochrony danych osobowych. Zapytany przez prezesa Urzędu Ochrony Danych Osobowych, dlaczego nie zareagował, w oficjalnym piśmie wyjaśnił, że nie widział takiej potrzeby. Znalazła zapewnił policjantów, że nie skopiował danych znalezionych w przesyłce. Santander Bank uznał sprawę za niebyłą.
Santander Bank nie poinformował o naruszeniu danych osobowych
To swobodne podejście do tematu może kosztował bank 1,44 mln zł. O nałożeniu takiej kary zadecydował prezes UODO Mirosław Wróblewski. W decyzji podkreślił, że w przypadku wystąpienia naruszenia ochrony danych, „oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora”. Dodał, że brak zawiadomienia osób dotkniętych naruszeniem (a bank nie skontaktował się z osobami, których dane znalazły się w ukradzionej przesyłce) pozbawia je możliwości podjęcia reakcji, którą w tej sytuacji uważają za właściwą.
Santander Bank nie poinformował nie tylko klientów, ale i Urzędu Ochrony Danych Osobowych. Prezes tej instytucji o nieprzyjemnej sytuacji dowiedział się z mediów.
„Brak zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO pozbawia z kolei organ nadzorczy możliwości odpowiedniej reakcji na naruszenie, a więc oceny ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również szansy na weryfikację, czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą. Organ nie jest wówczas w stanie ocenić czy administrator zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia” – wyjaśniono w decyzji.
Prezes UODO zadecydował o nałożeniu na Santander Bank kary pieniężnej w wysokości 1,44 mln zł oraz zobowiązał go do zawiadomienia osób, których ochrona danych została naruszona na skutek zdarzenia.