Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/33

Kraj:

Polska

Data wydania decyzji:

02.09.2024 r.

Podmiot kontrolowany:

X. S.A.

Wysokość kary (EUR):

928.498,06

Podstawa prawna naruszenia

Art. 34 ust. 1, 2 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych przez Bank X. S.A. miało miejsce z powodu błędnego przesłania dokumentów bankowych klientów do innego banku przez pracownika podmiotu przetwarzającego dane na zlecenie Banku. Przyczyną naruszenia było zewnętrzne, niezamierzone działanie.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: Bank X. S.A. zgłosił naruszenie Prezesowi Urzędu Ochrony Danych Osobowych (UODO) 8 lipca 2022 r., informując, że do naruszenia doszło 30 czerwca 2022 r.
  2. Charakter naruszenia: Naruszenie polegało na przesłaniu dokumentów bankowych klientów do innego banku. Dokumenty te zostały zwrócone do Banku, jednak istnieje prawdopodobieństwo, że pracownicy innego banku zapoznali się z ich treścią.
  3. Działania Banku: Bank uznał, że ryzyko naruszenia praw i wolności klientów jest zminimalizowane ze względu na obowiązek zachowania tajemnicy bankowej przez pracowników innego banku. W związku z tym Bank nie powiadomił klientów o naruszeniu.
  4. Stanowisko Prezesa UODO: Prezes UODO uznał, że naruszenie ochrony danych osobowych powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych i nakazał Bankowi zawiadomienie osób, których dane dotyczą, o naruszeniu.
  5. Dalsze działania: Bank nie zastosował się do nakazu Prezesa UODO, argumentując, że inny bank jest podmiotem zaufanym i ryzyko naruszenia praw klientów jest niskie.
  6. Decyzja Prezesa UODO: W odpowiedzi na decyzję Banku Prezesa UODO zdecydował o nałożeniu kary w wysokości 4 053 173 PLN.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zawiadomienie osób: Zaleca się niezwłoczne zawiadomienie osób, których dane zostały naruszone, o charakterze naruszenia, możliwych konsekwencjach oraz środkach podjętych w celu zaradzenia naruszeniu.
  2. Analiza ryzyka: Przeprowadzenie analizy ryzyka naruszenia praw lub wolności osób, których dane zostały naruszone, z uwzględnieniem wszystkich okoliczności.
  3. Wdrożenie procedur: Wdrożenie odpowiednich procedur i środków technicznych oraz organizacyjnych w celu zapobiegania podobnym naruszeniom w przyszłości.
  4. Współpraca z UODO: Zapewnienie pełnej współpracy z organem nadzorczym oraz realizacja jego zaleceń w celu minimalizacji negatywnych skutków naruszenia.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO