Wyciek danych z banku a RODO i tajemnica bankowa
Klientka pewnego banku otrzymała smsa z informacją i wezwaniem do zapłaty za zaległość w spłacie pożyczki. Zaczęła się zastanawiać czy to możliwe. Sprawdziła swoje zobowiązanie i nic takiego nie miało miejsca. Złożyła reklamację do banku. Bank przeprosił i stwierdził, że to zaległość innego klienta banku i że podobna sytuacja się już więcej nie powtórzy. W smsie znalazły się dane klienta banku z zaległością i jego faktyczne konto. Doszło zatem do udostępnienia danych osobie postronnej.
Co w tym przypadku grozi bankowi? BIG, BIK, UODO w kontekście RODO? Czego może domagać się klientka, do której bank omyłkowo wysłał sms? Czego może domagać się klient, którego dane bank omyłkowo udostępnił osobie postronnej?
Sprawę na łamach portalu gazetaprawna.pl komentuje radca prawny Piotr Grzelczak, nasz ekspert z zakresu ochrony danych osobowych. Pełen tekst dostępny online TUTAJ.
W ocenie naszego eksperta na ten problem można spojrzeć z trzech następujących perspektyw:
- Z punktu widzenia klientki, która otrzymała smsa z cudzymi danymi, nie widzę tutaj specjalnych roszczeń, bo nie poniosła ona żadnej istotnej szkody majątkowej ani niemajątkowej, poza odrobiną stresu, że ma jakieś nieznane zadłużenie, co z resztą szybko się wyjaśniło. Natomiast fakt, iż udostępniono jej dane innej osoby, nasuwa podejrzenie, że w systemach bankowych są jakieś błędy i być może również dane tej klientki zostały udostępnione komu innemu. W celu wyjaśnienia tej sprawy można zwrócić się z zapytaniem do banku, co pewnie niewiele da, bądź złożyć skargę do PUODO, aby doprowadzić do zbadania sprawy przez ten organ. W przypadku ustalenia, że doszło do niezgodnego z prawem ujawnienia danych także tej klientki, sprawa wygląda jak w punkcie 2.
- Z punktu widzenia klienta, którego dane zostały udostępnione, ma on zarówno możliwość złożenia skargi do PUODO celem zbadania sprawy, jak też i dochodzenia roszczeń na drodze sądowej. Mamy tutaj dwie podstawy prawne dla tych roszczeń: naruszenie ochrony danych na bazie RODO i naruszenie tajemnicy bankowej na bazie Prawa Bankowego. W procesie należałoby jednak wykazać poniesioną szkodę, co w tym przypadku chyba nie byłoby takie łatwe. Nie bez wpływu na to pozostaje odpowiedź na pytanie, jakie dane zostały faktycznie zawarte w smsie, bo skoro klientka, która otrzymała smsa myślała, że to jej zaległość, to pewnie nie było tam imienia i nazwiska innego klienta, a jedynie informacje o samej zaległości i numer rachunku. W takiej sytuacji, ryzyko dla osoby, której dane ujawniono, jest znacznie niższe, bo na ogół osoby postronne po samym rachunku bankowym nie będą w stanie ustalić tożsamości innego klienta banku. Wydaje mi się, że bez dodatkowych okoliczności, tj. sytuacji kiedy niezgodne z prawem ujawnienie wspomnianego zakresu danych wywołałoby jakieś dodatkowe, niekorzystne skutki trudno będzie uzyskać odszkodowanie.
- Z punktu widzenia banku, jak wspomniałem wyżej, tego rodzaju zdarzenie może wskazywać na jakiś błąd systemowy, który mógł dotknąć większej ilości klientów. Mamy tutaj na pewno naruszenie w zakresie ochrony danych osobowych ze wszelkimi przewidzianymi przez RODO konsekwencjami, w tym możliwością nałożenia przez PUODO kary administracyjnej, oraz możliwością dochodzenia roszczeń przez poszkodowanych klientów na drodze sądowej. Mamy również do czynienia z naruszeniem tajemnicy bankowej. Wchodzi więc w grę potencjalnie działanie KNF, która zgodnie z Prawem Bankowym może – w przypadku naruszenia Prawa Bankowego – po uprzednim upomnieniu na piśmie zastosować dostępne jej środki administracyjne, w tym nałożyć na bank karę pieniężną w maksymalnej wysokości do 10% prognozowanego przychodu banku czy też wystąpić do właściwego organu banku o odwołanie członka zarządu bezpośrednio odpowiedzialnego za stwierdzone nieprawidłowości. Należy też pamiętać, że nieuprawnione ujawnienie tajemnicy bankowej stanowi przestępstwo i podlega karze grzywny do 1 miliona złotych oraz karze pozbawienie wolności do lat 3.
Zapraszamy do lektury artykułu online TUTAJ!