Ponad pół miliona zł kary dla Santander Bank Polska
Ponad 545 tys. zł musi zapłacić Santander Bank Polska S.A. Administracyjna kara pieniężna w tej kwocie została nałożona w związku z niezawiadomieniem podmiotów danych o naruszeniu. Przybliżamy szczegóły decyzji Prezesa UODO.
Bank zgłosił naruszenie do Prezesa UODO
Santander Bank Polska S.A. wprawdzie zgłosił do Prezesa UODO naruszenie ochrony danych. Stało się to po stwierdzeniu, że były pracownik banku zachował dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS), mimo że zakończył pracę u administratora. Profil ten był wykorzystywany przez byłego pracownika także po ustaniu zatrudnienia. Dzięki temu mógł on przeglądać dane pozostałych pracowników banku.
Niewłaściwa ocena banku
Bank Santander wyjaśnił, że naruszenie ochrony danych zgłosił do Prezesa UODO ze względów ostrożności. Po analizie sprawy uznał zaś, że zdarzenie nie rodzi wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Dlatego zrezygnował z zawiadomienia podmiotów danych o naruszeniu. Ograniczył się jedynie do opublikowania na platformie komunikacji wewnętrznej komunikatu przypominającego zasady przetwarzania danych osobowych.
Zbyt ogólny komunikat dla podmiotów danych
To w ocenie organu nadzorczego nie było wystarczające. Taki komunikat był zdecydowanie zbyt ogólny i nie odnosił się do konkretnego zdarzenia.
Komunikat o naruszeniu ochrony danych dla podmiotów danych powinien odnosić się do konkretnego naruszenia.
Zbyt wąska grupa ostrzeganych osób
Komunikat został skierowany do obecnych pracowników banku, którzy w momencie jego publikacji korzystali z platformy komunikacji wewnętrznej. Tymczasem naruszenie mogło dotknąć wszystkich osób zatrudnionych w banku w czasie, w którym wspomniany już były pracownik miał dostęp do systemu. Te osoby powinny również zostać zawiadomione o naruszeniu, tymczasem tak się nie stało. Administrator konsekwentnie twierdził, że nie miał i nie ma obowiązku zawiadamiania podmiotów danych.
Dlaczego zawiadomienie było konieczne
Prezes UODO stanął na stanowisko, że dostęp osoby nieuprawnionej do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą.
Dane osobowe znajdujące się na platformie PUE ZUS mogą być wykorzystane m.in. do:
- uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej,
- wglądu do danych o stanie zdrowia,
- uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych.
Liczy się samo ryzyko
Mniejsze znaczenie miał fakt, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób. Istotne było wystąpienie realnej możliwości zapoznania się z nimi. Właśnie dlatego stwierdzone powinno zostać wysokie ryzyko naruszenia praw lub wolności podmiotów danych. To zaś rodziło obowiązek zakomunikowania naruszenia podmiotom danych.
To nie pierwsza kara wymierzona bankowi za tego typu naruszenie. Przeczytaj także o karze dla Banku Millenium>>
Poza wysoką karą w wysokości ponad 545 tys. zł Prezes UODO nakazał także spełnienie obowiązku zawiadomienia osób o incydencie.
- decyzja Prezesa UODO z 19 stycznia 2022 r. (DKN.5131.33.2021).
- Czy parafia musi stosować zasady ochrony danych osobowych z RODO
- Duży wyciek danych na chińskiej platformie sprzedażowej
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Kara UODO dla kolejnego banku za niezgłoszenie naruszenia ochrony danych
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
