Naczelny Sąd Administracyjny podtrzymał niemal 550 tys. zł kary nałożonej na Santander Bank Polska za naruszenie przepisów RODO - poinformował we wtorek Urząd Ochrony Danych Osobowych. Santander BP poinformował PAP, że choć nie zgadza się z decyzją sądu, to się do niej zastosuje.
„NSA przyznał rację Prezesowi UODO, że przez zaniechanie właściwego powiadomienia osób o naruszeniu ochrony ich danych osobowych bank naruszył przepisy RODO” - przekazał UODO w komunikacie. Jak dodał, UODO nałożył na bank karę w wysokości niemal 550 tys. zł i nakazał niezwłoczne powiadomienie pracowników (gdyż to ich danych dotyczyło naruszenie), m.in. o potencjalnych konsekwencjach tej sytuacji, a także środkach, w jaki sposób osoby te mogą się zabezpieczyć przed negatywnymi skutkami tego incydentu.
Niedopełniony offboarding. Jak były pracownik zyskał dostęp do PUE ZUS?
Incydent, który bank sam zgłosił do UODO polegał na tym, że byłemu pracownikowi nie odebrano dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). „W efekcie, nawet po zakończeniu pracy w banku, miał on dostęp do danych innych pracowników z PUE ZUS na profilu płatnika firmy. Co więcej, dalsze postępowanie wykazało, że na przestrzeni 8 miesięcy aż 5-krotnie logował się on do platformy, już po wygaśnięciu umowy o pracę” - wyjaśnił Urząd.
Po analizie tego zgłoszenia prezes UODO stwierdził, że doszło do naruszenia poufności danych i „rodziło to wysokie ryzyko dla praw lub wolności osób, których te dane dotyczyły”. Z tego powodu UODO nakazał administratorowi powiadomienie tych osób.
Bank uznał jednak, po własnej analizie, że nie doszło do naruszenia przepisów RODO, a incydent został zgłoszony jedynie »z ostrożności«. Co więcej, spółka stwierdziła też, że nie ma konieczności informowania pracowników o incydencie, gdyż nie rodził on wysokiego ryzyka dla ich praw lub wolności” - przekazał Urząd.
Sąd: Istotne jest ryzyko, a nie to, czy dane faktycznie wyciekły
UODO poinformował, że NSA 6 marca oddalił skargę kasacyjną banku w tej sprawie. „NSA w szczególności nie zgodził się z argumentem skarżącego, że dostęp do danych miała zaufana osoba/odbiorca, co powodowało, że nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych” - przekazał Urząd.
Jak relacjonował, według sądu w tej sprawie nie jest istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko. „W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych” - wskazał UODO. Zwrócił uwagę, że PUE ZUS umożliwia dostęp do danych w zakresie: imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, które są danymi szczególnej kategorii.
Komunikacja „zbyt ogólna” – dlaczego bank nie spełnił obowiązku informacyjnego
UODO poinformował, że bank po incydencie zamieścił na platformie wewnętrznej komunikacji w firmie komunikat przypominający zasady przetwarzania danych osobowych. Zdaniem Urzędu informacja ta miała zbyt ogólny charakter. „Nie wskazano w niej, że incydent miał faktycznie miejsce, więc odbiorcy nie mieli powodów by podjąć działania w celu zabezpieczenia swoich danych. Tymczasem właśnie po to istnieje obowiązek informowania o naruszeniu osób, których dane dotyczą, by mogły one takie działania podjąć i odpowiednio zareagować” - podkreślił organ nadzorczy.
Zaznaczył, że informacja na wewnętrznej platformie mogła dotrzeć tylko do obecnych pracowników banku, tymczasem naruszenie potencjalnie obejmowało też dane byłych pracowników. „Zaszły więc wszelkie przesłanki do powiadomienia tych osób, zwłaszcza że incydent powodował dla nich wysokie ryzyko – dane z PUE ZUS można bowiem wykorzystać do zdobycia danych o stanie zdrowia, czy zaciągnięcia pożyczki w imieniu osoby, której dane dotyczą” - uważa UODO.
Dyrektor Biura Inspektora Ochrony Danych w Santander Bank Polska Magdalena Zielińska w odpowiedzi na pytania PAP podkreśliła, że sprawa dotyczy zdarzenia z lutego 2021 r. „NSA nie podzielił stanowiska banku co do zakresu powiadomienia, jak i dokonanej przez bank oceny ryzyka. Bank jeszcze w toku postępowania, w lipcu 2022 roku, skierował do wszystkich pracowników dodatkowe powiadomienie i wprowadził środki naprawcze, aby podobna sytuacja nie powtórzyła. Nie zgadzamy się z treścią wydanego orzeczenia, jednak w pełni się do niego zastosujemy” - podkreśliła. (PAP)
jls/ mmu/ drag/
