Już nawet możliwość zaistnienia negatywnych skutków wycieku danych osobowych, ich zagubienia czy innych zdarzeń naruszających ochronę takich informacji zobowiązuje do powiadomienia o tym osoby, których może dotyczyć taka sytuacja. Bank Millenium nie wywiązał się z tego właściwie, za co został ukarany przez Urząd Ochrony Danych Osobowych (UODO). Kwota sankcji pieniężnej wyniosła ponad 363 tys. zł.
UODO zajął się sprawą Millenium na skutek skargi na bank. Dotyczyła ona zgubienia przez firmę kurierską korespondencji z danymi osobowymi, takimi jak: imię, nazwisko, numer PESEL, adres zameldowania, numer rachunku bankowego oraz identyfikacyjnego nadawanego klientom. Skarżący zostali o tym fakcie powiadomieni, ale informacje nie spełniały wymagań określonych w unijnym rozporządzeniu (RODO). Bank uznał, że ryzyko negatywnych konsekwencji dla osób dotkniętych naruszeniem jest średnie, więc nie zgłosił zdarzenia UODO i nie w pełni wywiązał się obowiązku powiadomienia o nim osób, których dotyczą dane.
Organ przypomina, że obowiązek zgłoszenia UODO incydentów obejmuje te, w których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego wpływu na prawa lub wolności osób, których dotyczą dane. Osoby te należy powiadomić, gdy ryzyko jest wysokie, czyli np. w przypadku kradzieży lub sfałszowania tożsamości, straty finansów lub naruszenia dobrego imienia.
UODO zwraca uwagę, że gdyby został powiadomiony o omawianej sprawie, organ poinformowałby wówczas bank, że należy zawiadomić o naruszeniu także klientów. Przy czym, z uwagi na możliwość szkodliwego wpływu na ich prawa lub wolności, nie ma znaczenia, czy nieuprawniony odbiorca wszedł w posiadanie informacji i się z nimi zapoznał - wystarczy już fakt, że wystąpiło takie ryzyko. Istotny jest zakres danych objętych naruszeniem (nie tylko imię i nazwisko, ale także numer PESEL).
UODO wyjaśnia, że na wysokość kary wpłynęły charakter i waga naruszenia, umyślność działania banku oraz to, że w trakcie postępowania w dalszym ciągu nie realizował on obowiązków związanych z incydentem i współpracował z organem nadzoru w sposób niezadowalający. Bank został ponadto zobowiązany do powiadomienia klientów o zaistniałym incydencie w sposób, którego wymaga RODO.