Kara za niezawiadomienie osób poszkodowanych wyciekiem danych została nałożona na mBank przez Prezesa UODO po wycieku danych w czerwcu 2024 roku. Do wycieku danych doszło, gdy pracownik firmy przetwarzającej dane osobowe na zlecenie banku omyłkowo wysłał dokumenty klientów do innej instytucji finansowej. Dokumenty zawierały takie dane osobowe jak nazwiska i imiona, imiona rodziców, daty urodzenia, numer rachunku bankowego, adresy zamieszkania lub pobytu, numery PESEL, dane dotyczące zarobków i/lub posiadanego majątku, nazwiska rodowe matki, serie i numer dowodów osobistych, inne (informacje dotyczące kredytów i nieruchomości).
Bank zgłosił naruszenie do UODO, lecz nie zawiadomił klientów o tym, że w ich dane mogły mieć wgląd osoby trzecie, mimo że Prezes UODO poinformował o konieczności takiego zawiadomienia. Jako uzasadnienie takiego postępowania bank podał, że dokumenty trafiły do instytucji, z którą bank ściśle współpracuje, i którą także obowiązuje tajemnica bankowa, a więc zdaniem banku ma status podmiotu zaufanego. Dodatkowo pracownicy tej instytucji potwierdzili, że nie mają kopii otrzymanych przez pomyłkę dokumentów.
Prezes UODO uznał powyższą argumentację za nieprawidłową i nałożył na bank karę w wysokości ponad 4 milionów złotych za niezawiadomienie osób poszkodowanych wyciekiem danych, wskazując, że ujawnienie takiej ilości danych tworzy duże ryzyko dla osób, których one dotyczą. Ponieważ bank nie zawiadomił poszkodowanych o wycieku danych, osoby te nie mogły przeciwdziałać ewentualnym negatywnym skutkom naruszenia. Dodatkowo Urząd podkreślił, że przestrzeganie innych tajemnic prawnie chronionych (np. tajemnicy bankowej) nie zwalnia administratora ze stosowania RODO.
