Prezes UODO nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł za niezawiadomienie przez Bank osób, których dane dotyczą, o incydencie naruszenia danych osobowych.
Zgodnie art. 34 ust. 1 RODO w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.
Jak można przeczytać w treści uzasadnienia decyzji Prezesa, były pracownik Banku po zakończeniu stosunku pracy miał w dalszym ciągu dostęp do Platformy Usług Elektronicznych ZUS (PUE ZUS) i danych osobowych 10 500 pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia. Mimo że sam pracownik powiadomił Bank o swoim nieuprawnionym dostępie, a następnie Bank powiadomił Prezesa UODO o naruszeniu, to Bank nie zdecydował się powiadomić osób o naruszeniu ich danych.
Bank argumentował, że ryzyko naruszenia praw lub wolności osób fizycznych jest niskie. W okresie od ustania stosunku pracy do powiadomienia o dostępie, miało miejsce tylko 5 logowań do systemów. Bank wskazał dodatkowo, że nie zidentyfikowano nielegalnego przetwarzania danych, a jeśli nawet hipotetycznie doszło do naruszenia ochrony danych osobowych to tylko w zakresie, w jakim były pracownik miał już dostęp do danych w okresie zatrudnienia. Ponadto były pracownik posiadał upoważnienie do przetwarzania danych osobowych w imieniu Banku. Złożył stosowne oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności, a tym samym można go uznać za odbiorcę, choć nieuprawnionego, to jednak „zaufanego” w rozumieniu unijnych wytycznych. Wreszcie sam pracownik poinformował o swoim nieuprawnionym dostępie. W konsekwencji Bank ograniczył się do komunikatu w intranecie o zasadach przetwarzania danych osobowych.
Organ nie podzielił argumentacji Banku. Doszło bowiem do naruszenia poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, co aktualizowało obowiązek z art. 54 RODO. Uzasadniając wymiar kary organ wskazał, że status odbiorcy zaufanego posiadają podmioty powiązane więzią faktyczną, a nierzadko prawną, która pozwala na ocenę stopnia zaufania stron, a zatem nie jest nim były pracownik. O braku zaufania świadczyć powinien też fakt, że jednak kilkakrotnie logował się on do systemu i to po zakończeniu stosunku pracy – a więc logowania nie mogły mieć charakteru przypadkowego. Podmiot powiadomił Bank o dostępie, ale dopiero po 8 miesiącach dostępu i po dokonanych logowaniach. Wreszcie dostęp dotyczył danych bardzo dużej liczby – 10 500 osób i to danych wyjątkowo wrażliwych, w tym szczególnej kategorii danych, o których mowa w art. 9 RODO, skoro wśród nich znajdują się dane dotyczące zdrowia.
Organ podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Chodzi o umożliwienie osobie fizycznej dokonanie samodzielnej oceny naruszenia i podjęcia decyzji o zastosowaniu działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem. Dlatego w ocenie Organu zawiadomienie było nieodzowne, a środki podjęte przez Bank były zdecydowanie niewystarczające, skoro nie poinformowano pracowników Banku o naruszeniu.
Pełna treść decyzji dostępna na stronie: https://uodo.gov.pl/pl/138/2303
Materiał Partnera beinsured.pl: