Urzędu Ochrony Danych Osobowych (UODO) har utfärdat en sanktionsavgift på 4 053 173 zloty mot mBank för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att mBank anlitat ett personuppgiftsbiträde att utföra behandlingar för mBanks räkning. En anställd hos personuppgiftsbiträdet skickade felaktigt mBanks kunders handlingar till en annan bank. Handlingarna innehöll personuppgifter som namn, efternamn, nationellt identifikationsnummer, finansiella uppgifter, kontonummer och id-nummer.
Enligt mBank skickade den andra banken tillbaka alla dokument. Dokumentens integritet har inte påverkats, men det var ändå troligt att den andra bankens anställda läst dokumenten. Eftersom dokumentens sekretess kränkts inträffade en personuppgiftsincident enligt artikel 4.12 GDPR. mBank ansåg dock att den risk som intrånget innebar minimerades av den lagstadgade banksekretessen. Därför såg mBank ingen anledning att underrätta de registrerade i enlighet med artikel 34 GDPR. mBank underrättade dock UODO om dataintrånget.
UODO ansåg att mBank korrekt identifierat incidenten som en personuppgiftsincident enligt artikel 4.12 GDPR. mBank underlät dock att bedöma risken för dataintrånget. På grund av de utlämnade uppgifternas karaktär innebar incidenten en hög risk för de registrerades rättigheter och friheter, bland annat för identitetsstöld eller bankbedrägerier.
Även om uppgifterna felaktigt delades med den andra banken innebar inte bankens status automatiskt att den var en betrodd part. Banksekretessen och uttalanden från den andra bankens anställda var inte ett tillräckligt skydd mot framtida missbruk av uppgifterna. UODO betonade att det inte fanns någon formell relation mellan mBank och den andra banken, och att det inte heller fanns några interna rutiner för att hantera incidenter av det här slaget. mBank kunde inte heller bevisa att han kände till den andra bankens säkerhetsåtgärder för behandlingen, särskilt inte de policyer som införts. mBank har inte haft någon befogenhet att genomdriva uttalandena i praktiken och följaktligen inte vidtagit några skyddsåtgärder för att minimera den risk som dataintrånget utgjorde.
Vidare underlät mBank att omvärdera risken för personuppgiftsincidenten, vilket UODO begärt. Enligt UODO innebar detta beteende att mBank åsidosatte sina skyldigheter, särskilt skyldigheten att skydda de registrerade.
Sammantaget konstaterade UODO en överträdelse av artikel 34 GDPR och har utfärdat en sanktionsavgift på 4 053 173 zloty och beordrade mBank att underrätta de berörda registrerade om dataintrånget och dess konsekvenser.