Santander Bank zgłosił do Urzędu Ochrony Danych Osobowych naruszenie RODO po
tym, gdy stwierdził, że były pracownik Banku mimo posiada nieuprawniony dostęp do profilu Banku jako płatnika na
Platformie Usług Elektronicznych ZUS (PUE ZUS). Mógł on
przeglądać znajdujące się na tym profilu dane pracowników Banku i być może to uczynił, gdyż ustalono, że po
zakończeniu pracy w Santander Banku pięciokrotnie logował się do platformy korzystając z uprawień uzyskanych zanim rozwiązany został stosunek zatrudnienia.
Prezes UODO uznał, że doszło do naruszenia poufności danych i powstania wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane te dotyczą. Konieczne było więc ich zawiadomienie o całym incydencie.
Bank inaczej ocenił ryzyko. Jak wyjaśnił, zgłoszenia do UODO dokonał jedynie z ostrożności, a po analizie sprawy uznał, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dlatego osoby, których dane dotyczą, nie zostały zawiadomione o naruszeniu. Na platformie komunikacji wewnętrznej Bank umieścił jedynie komunikat przypominający zasady przetwarzania danych osobowych.
W ocenie PUODO komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, zaprezentowano w nim tylko przykładowe naruszenia RODO. Zabrakło wskazania, że w Banku doszło do ryzykownego zdarzenia i potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.
Czytaj więcej
Urząd Ochrony Danych Osobowych nałożył na spółkę 18 tys. zł kary za niepodejmowanie korespondencji.
PUODO miał także zastrzeżenia do wyboru adresatów komunikatu - byli to jedynie aktualni pracownicy Banku, którzy mają możliwość korzystania z platformy komunikacji wewnętrznej. Tymczasem o naruszeniu powinny zostać powiadomione wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty.
W ocenie PUODO dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby
m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki
zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez
osoby trzecie danych umożliwiających zaciągnięcie pożyczek
w instytucjach pozabankowych. Dostęp do danych o tak szerokim zakresie stwarza wysokie ryzyko dla praw lub wolności osób, których dane dotyczą.
- W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie
zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło
takie ryzyko (miała możliwość zapoznania się z tymi danymi).
W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie
ryzyko naruszenia praw lub wolności podmiotów danych - wskazuje organ nadzorczy.
Podkreśla też, że administrator świadomie zdecydował o rezygnacji z powiadomienia osób, których dane
dotyczą, o zaistniałym naruszeniu i w postępowaniu przed PUODO konsekwentnie utrzymywał, że nie
zamierza wypełnić obowiązku zawiadomienia.
Ta decyzja powoduje, że osoby potencjalnie dotknięte incydentem nie mogą podjąć
działań zaradczych i właściwych kroków w celu ochrony
swoich praw. Co więcej, decyzja Banku może doprowadzić do szkód majątkowych lub
niemajątkowych dla osób, których dane zostały naruszone.
tych powodów Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.
