Informacja o incydencie naruszenia danych osobowych niektórych klientów oddziału Santander Bank Polska w Pile, ul. Sikorskiego 81

9 sierpnia 2021

Informacja o incydencie

Informacja o incydencie naruszenia danych osobowych niektórych klientów korzystających z obsługi w oddziale Santander Bank Polska w Pile przy ul. Sikorskiego 81

Santander Bank Polska S.A. z siedzibą w Warszawie, al. Jana Pawła II 17 (dalej: „Bank”) jako:

  1. administrator danych osobowych,
  2. podmiot przetwarzający w imieniu Santander Towarzystwo Funduszy Inwestycyjnych S.A. (dalej: „Towarzystwo”) z siedzibą w Poznaniu, pl. Władysława Andersa 5, 61-894 Poznań (który jest administratorem danych osobowych klientów z tytułu uczestnictwa w funduszu inwestycyjnym Santander FIO zarządzanym przez Towarzystwo),

informuje w imieniu własnym oraz w imieniu Towarzystwa jako administratora danych osobowych o incydencie naruszenia ochrony danych osobowych niektórych klientów oddziału Banku w Pile przy ul. Sikorskiego 81.

 

Na czym polegał incydent

Incydent polegał na tym, że:

  1. osoby nieuprawnione – świadczące dla Banku profesjonalnie usługi porządkowe w trakcie usuwania zbędnych przedmiotów z pustego budynku oddziału w Pile przy ul. Sikorskiego 81 - miały dostęp do dokumentów zawierających dane osobowe,
  2. wyżej wskazane osoby wrzuciły dokumenty zawierające dane osobowe do kontenerów, które znajdowały się w wydzielonym miejscu przed budynkiem likwidowanego oddziału.

 

Czyje dane ujawniono

Naruszenie danych dotyczy niektórych klientów, którzy w oddziale Santander Bank Polska S.A. (w latach 2001 – 2018 Bank Zachodni WBK S.A., wcześniej Wielkopolski Bank Kredytowy S.A.) w Pile przy ul. Sikorskiego 81:

  1. w okresie od 03.10.2005 r. do 11.12.2007 r. składali zlecenia związane z funduszami inwestycyjnymi Arka (obecnie fundusz inwestycyjny Santander FIO),
    • w stosunku do nich ujawniono dane: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, numer zlecenia, wartość zlecenia/ liczbę jednostek uczestnictwa znajdującą się na zleceniu, numer rejestru;
  2. w okresie maj – czerwiec 2004 r. dokonali zapisów na certyfikaty inwestycyjne serii A Arka BZWBK Fundusz Rynku Nieruchomości Specjalistyczny Fundusz Inwestycyjny Zamknięty,
    • w stosunku do nich ujawniono dane: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, adres i nr rachunku, wysokość dokonywanej wpłaty;
  3. 28.06.2002 r. i 30.04.2002 r. zawarli umowę o konto dla ludności,
    • w stosunku do nich ujawniono dane: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, nr rachunku, nazwisko panieńskie, imiona rodziców, stan cywilny, datę i miejsce urodzenia;
  4. w okresie od 19.08.1992 r. do 10.11.2005 r. restrukturyzowali zadłużenie z tytułu kredytu,
    • w stosunku do nich ujawniono przynajmniej: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, adres i nr rachunku, numer telefonu;
  5. w okresie od 1993 r. do 2007 r. korzystali z usług Punktu Obsługi Klienta Domu Maklerskiego Banku Zachodniego WBK (wcześniej POK Wielkopolskiego Banku Kredytowego),
    • w stosunku do nich ujawniono dane: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, adres zamieszkania i korespondencyjny, podane w tamtym okresie, oraz numer rachunku bankowego podany w tamtym okresie;
  6. w 2009 r. zawarli z Domem Maklerskim Banku Zachodniego WBK umowę o kredyt brokerski pod zakup akcji spółki PGE,
    •  w stosunku do nich ujawniono dane: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, adres zamieszkania i korespondencyjny, podane w tamtym okresie, oraz numer rachunku bankowego podany w tamtym okresie.

 

Jakie są możliwe konsekwencje naruszenia ochrony danych osobowych 

Naruszenie danych osobowych może powodować poniższe, negatywne konsekwencje:

  1. kradzież tożsamości,
  2. utrata kontroli nad własnymi danymi osobowymi,
  3. uzyskanie przez osobę trzecią kredytu w instytucji pozabankowej,
  4. wyłudzenie ubezpieczenia,
  5. korzystanie z różnego rodzaju uprawnień lub praw obywatelskich podmiotu danych przez osobę nieuprawnioną.

 

Jakie środki zastosowaliśmy w celu zaradzenia naruszenia ochrony danych osobowych

Zgodnie z wymogami RODO przekazaliśmy zawiadomienie o naruszeniu do Prezesa Urzędu Ochrony Danych Osobowych.

Niezwłocznie po zidentyfikowaniu incydentu zabezpieczyliśmy dokumentację przed dalszym dostępem ze strony osób nieupoważnionych.

Podjęliśmy także działania zabezpieczające osoby, których dane ujawniono przed nieuprawnionym posłużeniem się nimi w celu zaciągnięcia zobowiązań kredytowych w naszym Banku.

Pozyskaliśmy również oświadczenie od osób nieuprawnionych świadczących dla Banku profesjonalnie usługi porządkowe, że: (i) nie zaznajamiały się z informacjami (w szczególności z danymi osobowymi) zawartymi w ww. dokumentach, (ii) nie udostępniły osobom nieupoważnionym ww. dokumentów ani informacji w nich zawartych, w szczególności danych osobowych, (iii) nie dokonywały kopii/fotokopii ww. dokumentów, (iv) zobowiązały się do zachowania w poufności danych i okoliczności tego zdarzenia. 
Zapewniamy jednocześnie, że podjęliśmy niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości.

 

Propozycja dalszych działań

Zachęcamy do zabezpieczenia przed ewentualnym nieuczciwym wykorzystaniem Państwa danych.
Rekomendujemy założenie konta w systemie informacji kredytowej i gospodarczej. Pozwoli to Państwu na bieżąco monitorować swoją aktywność kredytową.
Dostępne systemy, instytucje i przedsiębiorstwa, które oferują odpłatnie takie usługi to m.in.: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl.

Wszelkie stwierdzone nieprawidłowości związane z tą sprawą prosimy zgłaszać organom ścigania. Dodatkowo zalecamy zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

Klienci, którzy w wyniku tego naruszenia poniosą szkodę majątkową lub niemajątkową, mają prawo uzyskać od nas odszkodowanie za poniesioną szkodę.

 

Gdzie mogą Państwo otrzymać więcej informacji

Jeśli mają Państwo pytania do:

  1. Banku - prosimy skontaktować z naszym Inspektorem Ochrony Danych Markiem Malinowskim pod adresem: iod@santander.pl
  2. Towarzystwa jako administratora danych osobowych klientów funduszy inwestycyjnych - prosimy o kontakt z Inspektorem Danych Osobowych TFI Sławomirem Zawieruchą pod adresem tfi.iod@santander.pl

 

Podstawa prawna

Art. 34 pkt 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).