bg
Chcę wiedzieć o...
Strona główna
Artykuły
Wysoka kara nałożona przez UODO na Bank za niezawiadomienie o naruszeniu danych osobowych

Wysoka kara nałożona przez UODO na Bank za niezawiadomienie o naruszeniu danych osobowych

Dodano: 2022-03-15
Publikator: chmuraprawna.pl

Prezes UODO nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł za niezawiadomienie przez Bank osób, których dane dotyczą, o incydencie naruszenia danych osobowych.

Zgodnie art. 34 ust. 1 RODO w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.

Jak można przeczytać w treści uzasadnienia decyzji Prezesa, były pracownik Banku po zakończeniu stosunku pracy miał w dalszym ciągu dostęp do Platformy Usług Elektronicznych ZUS (PUE ZUS) i danych osobowych 10 500 pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia. Mimo że sam pracownik powiadomił Bank o swoim nieuprawnionym dostępie, a następnie Bank powiadomił Prezesa UODO o naruszeniu, to Bank nie zdecydował się powiadomić osób o naruszeniu ich danych.

Bank argumentował, że ryzyko naruszenia praw lub wolności osób fizycznych jest niskie. W okresie od ustania stosunku pracy do powiadomienia o dostępie, miało miejsce tylko 5 logowań do systemów. Bank wskazał dodatkowo, że nie zidentyfikowano nielegalnego przetwarzania danych, a jeśli nawet hipotetycznie doszło do naruszenia ochrony danych osobowych to tylko w zakresie, w jakim były pracownik miał już dostęp do danych w okresie zatrudnienia. Ponadto były pracownik posiadał upoważnienie do przetwarzania danych osobowych w imieniu Banku. Złożył stosowne oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności, a tym samym można go uznać za odbiorcę, choć nieuprawnionego, to jednak „zaufanego” w rozumieniu unijnych wytycznych. Wreszcie sam pracownik poinformował o swoim nieuprawnionym dostępie. W konsekwencji Bank ograniczył się do komunikatu w intranecie o zasadach przetwarzania danych osobowych.

Organ nie podzielił argumentacji Banku. Doszło bowiem do naruszenia poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, co aktualizowało obowiązek z art. 54 RODO. Uzasadniając wymiar kary organ wskazał, że status odbiorcy zaufanego posiadają podmioty powiązane więzią faktyczną, a nierzadko prawną, która pozwala na ocenę stopnia zaufania stron, a zatem nie jest nim były pracownik. O braku zaufania świadczyć powinien też fakt, że jednak kilkakrotnie logował się on do systemu i to po zakończeniu stosunku pracy – a więc logowania nie mogły mieć charakteru przypadkowego. Podmiot powiadomił Bank o dostępie, ale dopiero po 8 miesiącach dostępu i po dokonanych logowaniach. Wreszcie dostęp dotyczył danych bardzo dużej liczby –  10 500 osób i to danych wyjątkowo wrażliwych, w tym szczególnej kategorii danych, o których mowa w art. 9 RODO, skoro wśród nich znajdują się dane dotyczące zdrowia.

Organ podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Chodzi o umożliwienie osobie fizycznej dokonanie samodzielnej oceny naruszenia i podjęcia decyzji o zastosowaniu działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem. Dlatego w ocenie Organu zawiadomienie było nieodzowne, a środki podjęte przez Bank były zdecydowanie niewystarczające, skoro nie poinformowano pracowników Banku o naruszeniu.

Pełna treść decyzji dostępna na stronie: https://uodo.gov.pl/pl/138/2303

Materiał Partnera beinsured.pl:

 

Artykuły powiązane

UODO: Numer PESEL nie powinien widnieć w certyfikacie podpisu elektronicznego

Prezes Urzędu Ochrony Danych Osobowych (UODO) zwrócił się do Ministra Cyfryzacji z wnioskiem o zmianę przepisów dotyc...

Blokada strony internetowej przez ABW bezpodstawna – NSA ostatecznie rozstrzyga

Naczelny Sąd Administracyjny (NSA) w wyroku z 26 września 2024 roku (sygn. akt II GSK 2046/23) uznał, że Agencja Bez...

Meta ukarana 91 mln euro za naruszenie RODO.

Irlandzki organ ochrony danych (DPC) nałożył na Metę karę w wysokości 91 milionów euro za naruszenie przepisów RODO zwią...