Polen: Bank Millenium bötfälls med 78 000 euro för bristande incidenthantering

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Bank Millenium SA med 78 000 euro för överträdelse av artiklarna 33.1 och 34.1 dataskyddsförordningen (GDPR).

Av beslutet framgår att Bank Milleniums kurir förlorat korrespondens innehållandes personuppgifter, såsom namn, efternamn, identitetskortsnummer, registreringsadress, bankkontonummer och identifikationsnummer som ges till bankens kunder. Enligt UODO har Bank Millenium informerat de registrerade om händelsen, men den information som lämnades till de registrerade uppfyllde inte kraven i artikel 34.1 GDPR. Vidare ansåg UODO att Bank Milleniums bedömning om att personuppgiftsincidenten sannolikt inte skulle leda till en hög risk för de registrerades personers och friheter, varpå banken inte anmälde intrånget till tillsynsmyndigheten, var felaktig och innebär att banken inte följt artikel 33.1 GDPR.

UODO betonade i beslutet att det är nödvändigt att rapportera incidenter till tillsynsmyndigheten där det finns en sannolikhet (högre än låg) för en skadlig inverkan på de registrerades rättigheter eller friheter, och att när denna risk är hög måste överträdelsen också anmälas till de registrerade. Enligt UODO omfattar dessa risker särskilt identitetsstöld eller förfalskning, ekonomisk förlust eller skada på anseendet, och att det breda spektrumet av uppgifter i korrespondensen kan ha utsatt dem som berördes av incidenten för sådana konsekvenser.

Mot denna bakgrund ålade tillsynsmyndigheten inte bara Bank Millenium att betala böter på ca 78 000 euro utan beordrade också banken att underrätta de personer som berörts av överträdelsen på det sätt som anges i artikel 34.1  GDPR.

Mer information

Myndighet: Urzędu Ochrony Danych Osobowych (UODO)

Land: Polen

Lagrum: Art. 33 GDPR, art. 34 GDPR

Sanktionsavgift: 78 000 euro

Mottagare: Bank Millenium SA

Beslutsnummer: DKN.5131.16.2021

Beslutsdatum: 2021-10-14

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

03 OKT

Artificiell intelligens & personuppgifter

En genomgång av de viktigaste reglerna för artificiell intelligens ur ett dataskyddsperspektiv.

05 OKT

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

07 MAR

Molntjänster & tredjelandsöverföringar

En genomgång av de viktigaste reglerna för tredjelandsöverföringar vid användning av molntjänster enligt GDPR.