Santander Bank surowo ukarany za naruszenie RODO

545 tys. zł kary administracyjnej ma zapłacić Santander Bank Polska S. A. za niezawiadomienie bez zbędnej zwłoki obecnych i byłych pracowników Banku, że mogło dojść do naruszenia poufności ich danych osobowych.

Publikacja: 22.02.2022 10:34

Santander Bank surowo ukarany za naruszenie RODO

Foto: Adobe Stock

Santander Bank zgłosił do Urzędu Ochrony Danych Osobowych naruszenie RODO po tym, gdy stwierdził, że były pracownik Banku mimo posiada nieuprawniony dostęp do profilu Banku jako płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). Mógł on przeglądać znajdujące się na tym profilu dane pracowników Banku i być może to uczynił, gdyż ustalono, że po zakończeniu pracy w Santander Banku pięciokrotnie logował się do platformy korzystając z uprawień uzyskanych zanim rozwiązany został stosunek zatrudnienia.

Prezes UODO uznał, że doszło do naruszenia poufności danych i powstania wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane te dotyczą. Konieczne było więc ich zawiadomienie o całym incydencie.

Bank inaczej ocenił ryzyko. Jak wyjaśnił,  zgłoszenia  do UODO dokonał jedynie z ostrożności, a po analizie sprawy uznał, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dlatego osoby, których dane dotyczą, nie zostały zawiadomione o naruszeniu. Na platformie komunikacji wewnętrznej Bank umieścił jedynie komunikat przypominający zasady przetwarzania danych osobowych.

W ocenie PUODO komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku,  zaprezentowano w nim tylko przykładowe naruszenia RODO. Zabrakło wskazania, że w Banku doszło do ryzykownego zdarzenia i potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

Czytaj więcej

Nie odbierali korespondencji z urzędu. Zapłacą 18 tys. zł kary

PUODO miał także zastrzeżenia do wyboru adresatów komunikatu - byli to jedynie aktualni pracownicy Banku, którzy mają możliwość korzystania z platformy komunikacji wewnętrznej.  Tymczasem o naruszeniu powinny zostać powiadomione wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty.

W ocenie PUODO dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych. Dostęp do danych o tak szerokim zakresie stwarza wysokie ryzyko dla praw lub wolności osób, których dane dotyczą.

- W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych - wskazuje organ nadzorczy.

Podkreśla też, że administrator świadomie zdecydował o rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu i w postępowaniu przed PUODO konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia.
Ta decyzja powoduje, że osoby potencjalnie dotknięte incydentem nie mogą podjąć działań zaradczych i właściwych kroków w celu ochrony swoich praw. Co więcej, decyzja Banku może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.

 tych powodów Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.

Zawody prawnicze
Korneluk uchyla polecenie Święczkowskiego ws. owoców zatrutego drzewa
Zdrowie
Mec. Daniłowicz: Zły stan zdrowia myśliwych nie jest przyczyną wypadków na polowaniach
Nieruchomości
Odszkodowanie dla Agnes Trawny za ziemię na Mazurach. Będzie apelacja
Sądy i trybunały
Wymiana prezesów sądów na Śląsku i w Zagłębiu. Nie wszędzie Bodnar dostał zgodę
Sądy i trybunały
Rośnie lawina skarg kasacyjnych do Naczelnego Sądu Administracyjnego