Informacja o incydencie naruszenia danych osobowych klientów korzystających w okresie maj 2004 r. – grudzień 2007 r. z obsługi w oddziale Santander Bank Polska S.A. w Pile przy ul. Sikorskiego 81

10 sierpnia 2021

Santander Towarzystwo Funduszy Inwestycyjnych S.A. z siedzibą w Poznaniu, pl. Władysława Andersa 5 (dalej: „Towarzystwo”) jako administrator danych osobowych informuje o incydencie naruszenia ochrony danych osobowych klientów funduszy Arka (obecnie Santander FIO) obsługiwanych przez oddział Santander Bank Polska S.A. (dalej: „Bank”) w Pile przy ul. Sikorskiego 81.

Na czym polegał incydent
Incydent polegał na tym, że: a) osoby nieuprawnione – świadczące dla Banku profesjonalnie usługi porządkowe w trakcie usuwania zbędnych przedmiotów z pustego budynku oddziału w Pile przy ul. Sikorskiego 81 – miały dostęp do dokumentów zawierających dane osobowe, b) wyżej wskazane osoby wrzuciły dokumenty zawierające dane osobowe do kontenerów, które znajdowały się w wydzielonym miejscu przed budynkiem likwidowanego oddziału.

Czyje dane ujawniono
Naruszenie danych dotyczy klientów, którzy w oddziale Santander Bank Polska S.A. (wcześniej Bank Zachodni WBK S.A.) w Pile przy ul. Sikorskiego 81:

  • w okresie od 03.10.2005 r. do 11.12.2007 r. składali zlecenia związane z funduszami inwestycyjnymi Arka (obecnie fundusz inwestycyjny Santander FIO),
  • w okresie maj – czerwiec 2004 r. dokonali zapisów na certyfikaty inwestycyjne serii A Arka BZ WBK Fundusz Rynku Nieruchomości Specjalistyczny Fundusz Inwestycyjny Zamknięty.

W wyniku naruszenia ujawniono następujące dane klientów funduszy inwestycyjnych Arka: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, numer zlecenia, wartość zlecenia/ liczbę jednostek uczestnictwa znajdującą się na zleceniu, numer rejestru. W przypadku klientów, którzy dokonali zapisów na certyfikaty inwestycyjne ujawniono takie dane jak: imię i nazwisko, PESEL, obowiązujący w tamtym okresie nr dokumentu tożsamości, wysokość wpłaty, adres oraz numer rachunku.

 

Jakie są możliwe konsekwencje naruszenia ochrony danych osobowych
Naruszenie danych osobowych może powodować poniższe, negatywne konsekwencje:

  • kradzież tożsamości,
  • utrata kontroli nad własnymi danymi osobowymi,
  • uzyskanie przez osobę trzecią kredytu w instytucji pozabankowej,
  • wyłudzenie ubezpieczenia,
  • korzystanie z różnego rodzaju uprawnień lub praw obywatelskich podmiotu danych przez osobę nieuprawnioną.

 

Jakie środki zostały zastosowane w celu zaradzenia naruszeniu ochrony danych osobowych
Zgodnie z wymogami RODO zarówno Bank jak i Towarzystwo przekazały zawiadomienie o ww. naruszeniu do Prezesa Urzędu Ochrony Danych Osobowych.
Niezwłocznie po zidentyfikowaniu incydentu Bank zabezpieczył dokumentację przed dalszym dostępem ze strony osób nieupoważnionych. Bank podjął również działania zabezpieczające osoby, których dane ujawniono przed nieuprawnionym posłużeniem się nimi w celu zaciągnięcia zobowiązań kredytowych w Banku.
Od osób nieuprawnionych świadczących dla Banku profesjonalnie usługi porządkowe Bank pozyskał oświadczenie, że: (i) nie zaznajamiały się z informacjami (w szczególności z danymi osobowymi) zawartymi w ww. dokumentach, (ii) nie udostępniły osobom nieupoważnionym ww. dokumentów ani informacji w nich zawartych, w szczególności danych osobowych, (iii) nie dokonywały kopii/fotokopii ww. dokumentów, (iv) zobowiązały się do zachowania w poufności danych i okoliczności tego zdarzenia. Bank poinformował Towarzystwo, że podjął niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości.

Propozycja dalszych działań
Zachęcamy do zabezpieczenia się przed ewentualnym nieuczciwym wykorzystaniem Państwa danych. Rekomendujemy założenie konta w systemie informacji kredytowej i gospodarczej. Pozwoli to Państwu na bieżąco monitorować swoją aktywność kredytową. Dostępne systemy, instytucje i przedsiębiorstwa, które oferują odpłatnie takie usługi to m.in.: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl).
Wszelkie stwierdzone nieprawidłowości związane z tą sprawą prosimy zgłaszać organom ścigania. Dodatkowo zalecamy zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.
Klienci, którzy w wyniku tego naruszenia poniosą szkodę majątkową lub niemajątkową, mają prawo uzyskać od nas odszkodowanie za poniesioną szkodę.

Gdzie mogą Państwo otrzymać więcej informacji
Jeśli mają Państwo pytania do:

  • Banku - prosimy skontaktować z Inspektorem Ochrony Danych Banku, Markiem Malinowskim, pod adresem: iod@santander.pl
  • Towarzystwa jako administratora danych osobowych klientów funduszy inwestycyjnych - prosimy o kontakt z Inspektorem Ochrony Danych TFI, Sławomirem Zawieruchą, pod adresem tfi.iod@santander.pl

Podstawa prawna
Art. 34 pkt 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).