W związku z tym nielegalnym procederem Prezes UODO zwrócił się do Przewodniczącego KNF i Prezesa ZBP o podjęcie działań, które przyczyniłyby się do zminimalizowania zjawiska nielegalnego wykorzystywania baz danych osobowych klientów banków. To kolejny raz, kiedy Urząd Ochrony Danych Osobowych bierze pod lupę banki. Wcześniej UODO informował o kontrolach dotyczących kopiowania dokumentów tożsamości przez banki.

Prezes UODO reaguje na handel danymi

Osobami, które mogą przyczyniać  się do wycieku danych osobowych są nierzadko pracownicy instytucji finansowych posiadających takie dane. W wielu przypadkach do udostępniania danych przez pracowników dochodzi w wyniku błędu, stosowania niewłaściwych środków bezpieczeństwa, czasem jednak także poprzez zamierzone działania osób kończących współpracę z tymi podmiotami. Często dochodzi do takich sytuacji poprzez przesyłanie danych osobowych klientów na prywatne skrzynki mailowe lub nośniki danych stanowiące własność tych osób – czytamy w komunikacie.

Prezes UODO podkreślił, że handel w ten sposób pozyskiwanymi bazami danych jest niebezpiecznym zjawiskiem, ponieważ tak pozyskane dane mogą być wykorzystywane wbrew woli klientów instytucji finansowych m.in. w celach przedstawiania im ofert marketingowych, czy do zaciągania w ich imieniu zobowiązań finansowych. Prezes UODO zaznaczył, że zarówno z punktu widzenia ochrony danych osobowych (RODO) oraz ochrony tajemnicy bankowej, takie zachowanie jest niedopuszczalne.

Dlatego tak ważne jest, aby banki intensywniej kontrolowały pracowników pod kątem przestrzegania przyjętych przez administratorów procedur ochrony danych osobowych, m.in.: odpowiednio, systematycznie i skutecznie ich szkoliły a także wprowadzały wzmocnione mechanizmy weryfikacyjno-rozliczeniowe wobec pracowników – wyjaśnia UODO w komunikacie.

W udzielonych na pismo Prezesa UODO odpowiedziach, zarówno Prezes ZBP, jak i Przewodniczący KNF potwierdzili, że banki mają obowiązek wdrożyć odpowiednie środki organizacyjne i techniczne, aby nie dopuszczać do bezprawnego wykorzystywania danych m.in. do przejęcia tożsamości.