Η τράπεζα αγνόησε τη σύσταση της πολωνικής αρχής, κρίνοντας πως ο κατά λάθος παραλήπτης ήταν έμπιστος
Πρόστιμο 936.000 ευρώ επέβαλε η πολωνική αρχή προστασίας δεδομένων UODO σε τράπεζα για τη μη ενημέρωση των πελατών της σχετικά με περιστατικό παραβίασης των δεδομένων τους που είχε συμβεί.
Η παραβίαση δεδομένων τελέστηκε όταν υπάλληλος της τράπεζας απέστειλε κατά λάθος έγγραφα που αφορούσαν πελάτες της σε άλλο πιστωτικό ίδρυμα. Τα έγγραφα επεστράφησαν στον αποστολέα, αφού όμως πρώτα ο φάκελος είχε ανοιχτεί. Το άνοιγμα αυτό σήμαινε πως δεν θα μπορούσε να αποκλειστεί το ενδεχόμενο τρίτοι να έχουν αποκτήσει πρόσβαση στα προσωπικά δεδομένα που περιλαμβάνονταν στον φάκελο και να έχουν λάβει γνώση των πληροφοριών σχετικά με τους πελάτες της τράπεζας.
Η τράπεζα γνωστοποίησε το περιστατικό στον UODO, αρνήθηκε όμως να ενημερώσει τα υποκείμενα των δεδομένων, όπως προβλέπει το άρθρο 33 ΓΚΠΔ, ακόμη και μετά τη σχετική σύσταση της εποπτικής αρχής. Για την άρνησή της αυτή, η τράπεζα επικαλέστηκε το τραπεζικό απόρρητο που διέπει το πιστωτικό ίδρυμα που παρέλαβε τα δεδομένα, αλλά και τη σχέση συνεργασίας μεταξύ τους, η οποία καθιστά τον παραλήπτη «έμπιστο». Παράλληλα, η τράπεζα διαβεβαίωσε την πολωνική αρχή πως οι υπάλληλοι του παραλήπτη δεν είχαν κρατήσει αντίγραφα των εγγράφων, ως εκ τούτου δεν υπήρχε κανείς λόγος να αποκαλυφθεί το συμβάν.
Ο UODO κατακεραύνωσε την τράπεζα για την απόφασή της αυτή, επιβάλλοντας υψηλό πρόστιμο και επικρίνοντας με σφοδρότητα την αδιαφορία της για την προστασία δεδομένων των πελατών της. Επικαλούμενη τις Κατευθυντήριες Γραμμές 9/2022 ΕΣΠΔ για τη γνωστοποίηση και ανακοίνωση παραβίασης δεδομένων, η πολωνική αρχή επεσήμανε πως ο χαρακτηρισμός ενός αποδέκτη δεδομένων ως έμπιστου δεν βασίζεται στην ταυτότητα του ιδίου, εν προκειμένω στο ότι αυτός ετύγχανε πιστωτικό ίδρυμα, αλλά στην ύπαρξη άμεσης και διαρκούς σχέσης συνεργασίας μεταξύ του φορέα που τα διαβιβάζει και του φορέα που τα λαμβάνει, σχέση η οποία επιτρέπει στον πρώτο εξ αυτών να γνωρίζει καλά τις διαδικασίες του δεύτερου, έτσι ώστε να προσδοκά ευλόγως πως η παραβίαση δεν θα έχει συνέπειες για τα υποκείμενα.
Η τράπεζα έσφαλε, κατά την εποπτική αρχή, ως προς την εκτίμηση του κινδύνου για τα υποκείμενα των δεδομένων και των συνεπειών από τη μη ενημέρωσή τους για το συμβάν. Το λάθος της τράπεζας ήταν πως εστίασε αποκλειστικά στο ποιος είχε αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα και στηρίχτηκε σε διαβεβαιώσεις όσων απέκτησαν πρόσβαση πως τίποτα κακό δεν είχε συμβεί. Η εκτίμηση αυτή, ωστόσο, δεν ήταν επαρκής, καθώς η ανάλυση της κατάστασης που είχε προκύψει επέβαλε να ληφθούν υπόψιν και τα δικαιώματα όσων είχαν επηρεαστεί από την παραβίαση, κάτι το οποίο δεν συνέβη ποτέ.
Κατά την άποψη του UODO, οι ενέργειες της τράπεζας αποτελούν παράδειγμα αδιαφορίας για τα δικαιώματα των προσώπων, τα προσωπικά δεδομένα των οποίων επεξεργάζεται ο υπεύθυνος επεξεργασίας και εκδήλωση μιας βαθύτερης, συστημικής πολιτικής, η οποία πρέπει να τύχει αποδοκιμασίας από την εποπτική αρχή.
