Urzędu Ochrony Danych Osobowych (UODO) har utfärdat en sanktionsavgift på 78 000 euro mot Bank Millenium SA för överträdelse av artiklarna 33.1 och 34.1 dataskyddsförordningen (GDPR).
Av beslutet framgår att Bank Milleniums kurir förlorat korrespondens innehållandes personuppgifter, såsom namn, efternamn, identitetskortsnummer, registreringsadress, bankkontonummer och identifikationsnummer som ges till bankens kunder. Enligt UODO har Bank Millenium informerat de registrerade om händelsen, men den information som lämnades till de registrerade uppfyllde inte kraven i artikel 34.1 GDPR. Vidare ansåg UODO att Bank Milleniums bedömning om att personuppgiftsincidenten sannolikt inte skulle leda till en hög risk för de registrerades personers och friheter, varpå banken inte anmälde intrånget till tillsynsmyndigheten, var felaktig och innebär att banken inte följt artikel 33.1 GDPR.
UODO betonade i beslutet att det är nödvändigt att rapportera incidenter till tillsynsmyndigheten där det finns en sannolikhet (högre än låg) för en skadlig inverkan på de registrerades rättigheter eller friheter, och att när denna risk är hög måste överträdelsen också anmälas till de registrerade. Enligt UODO omfattar dessa risker särskilt identitetsstöld eller förfalskning, ekonomisk förlust eller skada på anseendet, och att det breda spektrumet av uppgifter i korrespondensen kan ha utsatt dem som berördes av incidenten för sådana konsekvenser.
Mot denna bakgrund ålade tillsynsmyndigheten inte bara Bank Millenium att betala en sanktionsavgift på ca 78 000 euro utan beordrade också banken att underrätta de personer som berörts av överträdelsen på det sätt som anges i artikel 34.1 GDPR.