Polen: Bank Millenium bötfälls med 78 000 euro för bristande incidenthantering

Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Bank Millenium SA med 78 000 euro för överträdelse av artiklarna 33.1 och 34.1 dataskyddsförordningen (GDPR).

Av beslutet framgår att Bank Milleniums kurir förlorat korrespondens innehållandes personuppgifter, såsom namn, efternamn, identitetskortsnummer, registreringsadress, bankkontonummer och identifikationsnummer som ges till bankens kunder. Enligt UODO har Bank Millenium informerat de registrerade om händelsen, men den information som lämnades till de registrerade uppfyllde inte kraven i artikel 34.1 GDPR. Vidare ansåg UODO att Bank Milleniums bedömning om att personuppgiftsincidenten sannolikt inte skulle leda till en hög risk för de registrerades personers och friheter, varpå banken inte anmälde intrånget till tillsynsmyndigheten, var felaktig och innebär att banken inte följt artikel 33.1 GDPR.

UODO betonade i beslutet att det är nödvändigt att rapportera incidenter till tillsynsmyndigheten där det finns en sannolikhet (högre än låg) för en skadlig inverkan på de registrerades rättigheter eller friheter, och att när denna risk är hög måste överträdelsen också anmälas till de registrerade. Enligt UODO omfattar dessa risker särskilt identitetsstöld eller förfalskning, ekonomisk förlust eller skada på anseendet, och att det breda spektrumet av uppgifter i korrespondensen kan ha utsatt dem som berördes av incidenten för sådana konsekvenser.

Mot denna bakgrund ålade tillsynsmyndigheten inte bara Bank Millenium att betala böter på ca 78 000 euro utan beordrade också banken att underrätta de personer som berörts av överträdelsen på det sätt som anges i artikel 34.1  GDPR.

Mer information

Myndighet: Urzędu Ochrony Danych Osobowych (UODO)

Land: Polen

Lagrum: Art. 33 GDPR, art. 34 GDPR

Sanktionsavgift: 78 000 euro

Mottagare: Bank Millenium SA

Beslutsnummer: DKN.5131.16.2021

Beslutsdatum: 2021-10-14

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.