Prezes UODO nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł. Kara została nałożona za niezawiadomienie przez Bank osób, których dane dotyczą, o incydencie naruszenia ich danych osobowych.
Zgodnie art. 34 ust. 1 RODO w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.
W treści uzasadnienia decyzji Prezesa czytamy, że były pracownik Banku po zakończeniu stosunku pracy miał dostęp do Platformy Usług Elektronicznych ZUS (PUE ZUS). Posiadał także dostęp do danych osobowych 10 500 pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia. Mimo że sam pracownik powiadomił Bank o swoim nieuprawnionym dostępie, a następnie Bank powiadomił Prezesa UODO o naruszeniu, to Bank nie zdecydował się powiadomić osób, których dotyczyło naruszenie, o naruszeniu ich danych.
Stanowisko Banku
Bank argumentował, że ryzyko naruszenia praw lub wolności osób fizycznych jest niskie. W okresie od ustania stosunku pracy do powiadomienia o dostępie, miało miejsce tylko 5 logowań do systemów. Bank wskazał dodatkowo, że nie zidentyfikowano nielegalnego przetwarzania danych. Jeśli nawet hipotetycznie doszło do naruszenia ochrony danych osobowych, to tylko w zakresie, w jakim były pracownik miał już dostęp do danych w okresie zatrudnienia. Ponadto były pracownik posiadał upoważnienie do przetwarzania danych osobowych w imieniu Banku. Złożył stosowne oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności. Tym samym uznano go za odbiorcę, choć nieuprawnionego, to jednak „zaufanego” w rozumieniu unijnych wytycznych. Wreszcie sam pracownik poinformował o swoim nieuprawnionym dostępie. W konsekwencji Bank ograniczył się do komunikatu w intranecie o zasadach przetwarzania danych osobowych.
Kara nałożona przez UODO – uzasadnienie
Organ nie podzielił argumentacji Banku, ponieważ jego zdaniem naruszono poufność danych. To z kolei wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, co aktualizowało obowiązek z art. 54 RODO. Uzasadniając wymiar kary organ wskazał na status odbiorcy zaufanego. Taki posiadają bowiem podmioty powiązane więzią faktyczną, a nierzadko prawną, która pozwala na ocenę stopnia zaufania stron. Zatem odbiorcą zaufanym nie jest były pracownik. O braku zaufania świadczyć powinien też fakt, że kilkakrotnie logował się on do systemu i to po zakończeniu stosunku pracy. Logowania nie mogły więc mieć charakteru przypadkowego. Podmiot powiadomił Bank o dostępie, ale dopiero po 8 miesiącach dostępu i po dokonanych logowaniach. Wreszcie dostęp dotyczył danych bardzo dużej liczby – 10 500 osób i to danych wyjątkowo wrażliwych. Znalazły się tu dane szczególnej kategorii, o których mowa w art. 9 RODO – dane dotyczące zdrowia.
Jak podkreślił organ, obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby. Zależy on od samej możliwości wystąpienia takiego ryzyka. Chodzi o umożliwienie osobie fizycznej dokonania samodzielnej oceny naruszenia i podjęcia decyzji o zastosowaniu działań zaradczych. Sama ocena naruszenia, którą przeprowadził administrator, powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem. Dlatego w ocenie Organu zawiadomienie było nieodzowne. Środki, które podjął Bank były zdecydowanie niewystarczające, skoro nie poinformowano pracowników Banku o naruszeniu.
Pełna treść decyzji dostępna na stronie: https://uodo.gov.pl/pl/138/2303