Jak poinformował Urząd Ochrony Danych Osobowych, powodem tej decyzji było naruszenie przez Bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu. UODO nałożył administracyjną karę pieniężną w wysokości ponad 545 tys. zł i nakazał zawiadomienie tych osób o zaistniałej sytuacji i potencjalnych konsekwencjach z nim związanych.

Czytaj: RODO - firmy słono płacą za naruszenie unijnego rozporządzenia>>
 

Odszedł z pracy i nadal miał dostęp

Administrator zgłosił do UODO naruszenie ochrony danych osobowych po tym, gdy stwierdził, że były pracownik Banku mimo zakończenia pracy w tej instytucji, posiada nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W wyniku tego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy.

WZORY DOKUMENTÓW:

 

 

E-usługi a RODO
-10%

Małgorzata Ciechomska

Sprawdź  

Cena promocyjna: 80.09 zł

|

Cena regularna: 89 zł

|

Najniższa cena w ostatnich 30 dniach: 89 zł


UODO, po dokonaniu analizy zgłoszenia naruszenia uznał, że doszło do naruszenia poufności danych, które wiąże się jednocześnie z zaistnieniem wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane dotyczą. Z tego też względu zdaniem organu nadzorczego konieczne jest zawiadomienie osób, których dane dotyczą, o zaistniałym incydencie.

Nie było naruszenia?

Zdaniem Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator, pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu. Bank umieścił jednak na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych.

Czytaj: Firma ukarana za brak współpracy z UODO>>
 

Za słaby i zbyt ogólny komunikat

W ocenie UODO tego typu komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, a jedynie zaprezentowano w nim przykładowe rodzaje naruszeń. Ponieważ zabrakło w komunikacie wskazania, że taka sytuacja de facto miała miejsce, to potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

UODO wyraził także swoje zastrzeżenia co do wyboru adresatów komunikatu, do których został on skierowany, czyli jedynie do obecnych pracowników Banku, korzystających z platformy komunikacji wewnętrznej. Według UODO zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty, a które aktualnie mogą już w nim nie pracować.

PROCEDURA: Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >

Zawiadomienie o naruszeniu było konieczne

W ocenie UODO w tej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. - Dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych - czytamy w komunikacie UODO. Jego autorzy dodają, że w tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych.

Czytaj: Jak Prezes UODO nakłada administracyjne kary pieniężne? >

Świadome zaniechanie administratora

Urząd Ochrony Danych Osobowych podkreśla, że administrator podjął świadomą decyzję o rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu. A w postępowaniu prowadzonym przed organem nadzorczym administrator konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia o incydencie tych osób. Zdaniem UODO takie zaniechanie powoduje brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw. - Co więcej, może ono doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone - stwierdził UODO.