Únik osobných údajov je čoraz väčším problémom vo svete, kde každá firma pracuje s citlivými informáciami svojich klientov. V roku 2025 sa do centra pozornosti dostala poľská banka mBank, ktorej poľský úrad pre ochranu osobných údajov (UODO) udelil pokutu takmer 930 000 €. Dôvodom bolo zlyhanie banky, keď včas neinformovala dotknuté osoby o tom, že ich osobné údaje unikli. Ide o vážne zlyhanie, ktoré môže ohroziť dôveru verejnosti a spôsobiť reálne škody dotknutým klientom. V tomto článku si podrobne rozoberieme, čo sa presne stalo, aké sú pravidlá pri ochrane osobných údajov, aké dôsledky môže mať nedodržanie nariadenia GDPR, a čo si z tohto prípadu môžu zobrať ostatné firmy, ale aj bežní ľudia.
Čo sa vlastne stalo: Kontext pokuty pre mBank
mBank, jedna z najväčších bánk v Poľsku, zaznamenala na začiatku roka 2025 únik osobných údajov svojich klientov. Podľa oficiálnych informácií došlo k incidentu, pri ktorom boli sprístupnené osobné údaje, ako sú mená, adresy, e-maily, rodné čísla alebo informácie o bankových účtoch.
Problém nebol len samotný únik. Veľkým zlyhaním zo strany banky bolo, že neupovedomila dotknuté osoby v zákonnej lehote 72 hodín, ako to vyžaduje nariadenie GDPR. Úrad pre ochranu osobných údajov vyhodnotil tento postup ako porušenie pravidiel a udelil banke pokutu vo výške 4 milióny poľských zlotých (približne 930 000 €).
GDPR a povinnosť informovať včas
Nariadenie GDPR ukladá jasné pravidlá pre ochranu osobných údajov. Ak organizácia zistí, že došlo k úniku údajov, musí minimálne urobiť tieto kroky:
- Oznámiť incident príslušnému dozornému orgánu do 72 hodín od jeho spozorovania.
- Ak je pravdepodobné, že únik predstavuje riziko pre práva a slobody jednotlivcov, je organizácia povinná informovať aj dotknuté osoby.
- Zdokumentovať celý proces interného vyhodnocovania a reakcie na incident.
mBank podľa dostupných informácií túto povinnosť zanedbala. Nielenže nedodržala 72-hodinovú lehotu, ale niektoré osoby neinformovala vôbec. Týmto prístupom mohla priamo vystaviť svojich klientov ešte väčšiemu riziku zneužitia ich údajov.
Dôsledky pre mBank a jej klientov
Pokuta bola len jeden z následkov, ktoré mBank pocítila. Po medializácii prípadu došlo aj k oslabeniu dôvery verejnosti voči banke, čo je pre finančnú inštitúciu mimoriadne vážne. Ľudia si kladú otázku, či môžu takýmto subjektom naďalej zverovať svoje údaje a peniaze.
Pre klientov mBank to znamená nielen stres, ale aj konkrétne riziká. Zneužitie rodného čísla, adries alebo údajov o bankových účtoch môže viesť k:
- Phishingovým útokom
- Vytvoreniu falošnej identity
- Finančným stratám
Niektoré z obetí už podali sťažnosti alebo žaloby. Okrem toho mohli mať problémy napríklad pri žiadaní o úver alebo pri kontrole bonity, ak sa ich údaje objavili na podozrivých weboch.
Prečo firmy často meškajú s oznámením
Hoci je zákon jasný, realita ukazuje, že firmy často otáľajú s oznámením incidentov. Prečo je to tak?
- Nedostatočná interná koordinácia – ak firma nemá jasný plán, kto má na starosti riešenie incidentov, spracovanie údajov môže trvať príliš dlho.
- Strach o povesť – firmy sa obávajú, že priznanie incidentu poškodí ich meno. V snahe minimalizovať škody radšej mlčia.
- Nevyjasnený právny rámec – niektoré firmy nie sú si isté, či ide o skutočný únik, a čakajú s oznámením, aby sa “ubezpečili”.
Takýto prístup je rizikový. GDPR neakceptuje úmysel vyčkávať. Hodiny začínajú plynúť od momentu, kedy firma zistí, že k úniku došlo – nie keď si je istá jeho rozsahom.
Čo sa môžeme z prípadu mBank naučiť
Prípad mBank ponúka niekoľko praktických poučení pre iné firmy, ale aj bežných používateľov.
Firmy by mali:
- Mať pripravený interný plán pre prípad úniku dát, vrátane jasne označených zodpovedných osôb.
- Pravidelne školenia zamestnancov o bezpečnosti údajov a legislatívnych požiadavkách.
- Zaviesť technické opatrenia, ktoré pomôžu včas odhaliť bezpečnostné incidenty.
Bežní používatelia by mali:
- Sledovať oznámenia od svojich bánk a inštitúcií, a ak majú podozrenie na únik, konať proaktívne.
- Meniť heslá a využívať dvojfaktorovú autentifikáciu tam, kde je to možné.
- Kontrolovať svoje bankové výpisy a bonitu.
Aký odkaz zanechal tento incident pre vás
mBank dostala vysokú pokutu za to, že zanedbala jednu z kľúčových povinností v oblasti ochrany osobných údajov. Tento prípad ukazuje, ako vážne môže byť zlyhanie v komunikácii pri bezpečnostných incidentoch. Či už ste firma, ktorá pracuje s údajmi svojich zákazníkov, alebo jednotlivec, ktorý svoje údaje zveruje iným, zodpovednosť je obojstranná.
Organizácie sa musia pripraviť na krízové situácie a okamžite konať. Výhovorky typu “nevedeli sme” alebo “čakali sme na potvrdenie” už neobstoja. GDPR kladie dôraz na aktívny postoj a transparentnosť. Včasné oznámenie unesie aj nepríjemnú správu dôstojným spôsobom. Mlčanie škodí všetkým – firme, zákazníkom aj spoločnosti ako takej.
Ak ste klient a vaša banka mlčí o tom, že s vašimi údajmi sa niečo stalo, máte právo vedieť, čo sa deje. Učíme sa z prípadov ako mBank nielen to, aké sú pravidlá, ale aj to, čo znamená dôvera a zodpovednosť vo svete digitálnych údajov. Je to budíček pre každého, kto si myslí, že sa ho kybernetické riziká netýkajú.
