Naczelny Sąd Administracyjny oddalił skargę kasacyjną Santander Bank Polska S.A., w pełni potwierdzając decyzję Prezesa UODO. Bank zapłaci 545 748 zł kary za brak powiadomienia pracowników o naruszeniu poufności danych oraz za nieuzasadnione bagatelizowanie wysokiego ryzyka. Wyrok podkreśla obowiązki administratora w sytuacjach z PUE ZUS.
Były pracownik banku zachował dostęp do Platformy Usług Elektronicznych ZUS (PUE ZUS) na profilu płatnika firmy – nawet po wygaśnięciu umowy o pracę. W ciągu 8 miesięcy logował się tam 5 razy, mając potencjalny wgląd w dane innych pracowników: imiona, nazwiska, PESEL, adresy, zwolnienia lekarskie (dane o zdrowiu, czyli szczególnej kategorii).
Bank zgłosił incydent do UODO „z ostrożności”, ale uznał, że nie ma wysokiego ryzyka naruszenia praw, bo dostęp miała "zaufana osoba". Wewnętrzny komunikat przypominał jedynie ogólne zasady RODO, bez informacji o samym zdarzeniu.
Prezes UODO stwierdził naruszenie poufności danych i wysokie ryzyko naruszenia z uwagi na zakres danych z PUE ZUS – możliwe wykorzystanie do oszustw (np. pożyczki, dane zdrowotne). Nakazał natychmiastowe powiadomienie osób, których dane dotyczą o incydencie, konsekwencjach i środkach ochronnych. Kara wyniosła 545 748 zł za złamanie art. 34 ust. 1 RODO. Wewnętrzny komunikat banku był niewystarczający: ogólny, nieinformował o fakcie naruszenia, nie dotarł do byłych pracowników i nie umożliwiał reakcji.
Sąd odrzucił argumenty banku. Kluczowe tezy: nieistotne, czy nieuprawniona osoba faktycznie zapoznała się z danymi – liczy się możliwość dostępu i wynikające wysokie ryzyko naruszenia praw (zwłaszcza przy danych wrażliwych z PUE ZUS). Podtrzymano wyrok WSA, bank konsekwentnie minimalizował incydent, co obciąża administratora.
Wyrok wzmacnia praktykę w ochronie danych. Powiadomienie osób, których dane dotyczą jest bezwzględne przy wysokim ryzyku – nawet bez dowodu odczytu danych. Ocena ryzyka musi być rygorystyczna, a dane z PUE ZUS traktowane jako czerwona flaga ze względu na potencjalne oszustwa. Wewnętrzne komunikaty nie zastępują bezpośredniego powiadomienia – muszą być konkretne i docierać do wszystkich poszkodowanych, w tym byłych. Dokumentuj analizy ryzyka; bagatelizowanie incydentów grozi karami i procesami.
Źródło: UODO,DKN.5131.33.2021
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl
