mBank został ukarany przez Urząd Ochrony Danych Osobowych kilkumilionową grzywną. W trakcie postępowania Urząd wykazał bowiem, że bank lekceważył prawa osób, których dane osobowe były przetwarzane przez administratorów. W wyniku błędu instytucji finansowej bardzo poufne dane niektórych klientów trafiły w niepowołane ręce. Bank złamał więc zasady RODO.
mBank wysłał dokumenty pod złe adresy
Sprawa ma swój początek w czerwcu 2022 roku. Wtedy mBank wysłał koperty z danymi osobowymi części klientów pod zły adres.
W efekcie podmiot nieuprawniony otrzymał korespondencję z danymi, których bank nie mógł ujawniać osobom postronnym:
- nazwiska i imiona,
- daty urodzenia,
- adres zamieszkania lub pobytu,
- numer PESEL.
To jednak nie wszystko. W źle zaadresowanych dokumentach znalazły się informacje dotyczące majątku, zarobków, nazwisko rodowe matki, seria i numer dowodu osobistego, a także informacje związane z kredytami i nieruchomościami. - czytamy w komunikacie UODO.
Bank nie poinformował swoich klientów o błędzie
Co więcej, mBank nie poinformował swoich klientów o tym, że popełnił błąd. Mimo tego, że zobowiązała go do tego UODO.
Instytucja finansowa swoją decyzję tłumaczyła tym, że poufne informacje trafiły w ręce podmiotu, którego i tak obowiązuje tajemnica bankowa i posiada status podmiotu zaufanego.
Bank uznał więc, że nie ma potrzeby informować o tym klientów, których dane się tam zawierały.
Jednak zdaniem Urzędu nie można go określać jako tzw. instytucję, czy osobę zaufania publicznego.
Prezes RODO uznał, że prawdopodobieństwo wycieku takiej ilości danych o konkretnej specyfice stwarza dla osób będących ich posiadaczami potężne ryzyko.
Fakt, że klienci banku nie wiedzieli o tym błędzie sprawiło natomiast, że nie mogli zareagować i uniknąć poważnych skutków.
4 miliony złotych kary dla mBanku
UODO podtrzymało swoją decyzję i nałożyło na bank karę w wysokości 4 milionów złotych. Jest to łagodna kara biorąc pod uwagę fakt, że początkowo mogła ona wynieść 377 miliony złotych.
