UODO nałożył na spółkę Santander Bank Polska administracyjną karę pieniężną w wysokości ponad 545 tysięcy zł. Powodem nałożenia kary było naruszenie przez bank przepisów RODO polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu.
Urząd Ochrony Danych Osobowych został poinformowany o naruszeniu przez administratora po tym, gdy ten stwierdził, że były pracownik banku, pomimo zakończenia pracy, ma nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS. W związku z tym mógł przeglądać znajdujące się na profilu dane pracowników banku. Jak ustalono w toku postępowania, pracownik po zakończeniu stosunku pracy pięciokrotnie logował się do platformy. UODO uznał, że doszło do naruszenia poufności danych, które wiąże się z wystąpieniem wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane dotyczą. Według organu konieczne jest poinformowanie o incydencie tych osób.
Zdaniem Santander Bank Polska, nielegalne przetwarzanie danych nie zostało zidentyfikowane. Uznano, że do naruszenia danych osobowych w rozumieniu RODO nie doszło. Administrator wyjaśnił, że dokonał zgłoszenia naruszenia ze względów ostrożnościowych. Pomimo tego, bank umieścił na platformie komunikacyjnej komunikat przypominający zasady przetwarzania danych osobowych. Nie zawarto w nim informacji o tym konkretnym przypadku, zaprezentowano tylko przykładowe rodzaje naruszeń. Zdaniem UODO, odbiorca nie miał więc powodów, by traktować ten komunikat z należytą sytuacji powagą. Co więcej, komunikat został skierowany jedynie do obecnych pracowników banku. Według UODO, powinien być on wysłany do wszystkich osób, które w instytucji były zatrudnione w czasie, kiedy dostęp do danych dla osoby nieuprawnionej był otwarty.
W sprawie istotny jest sam fakt, że osoba nieuprawniona mogła zapoznać się z danymi osobowymi innych osób. Nie ma znaczenia fakt, czy to to zrobiła. Ważne jest wystąpienie samego ryzyka.
Administrator, co również ma znaczenia w sprawie, postanowił zrezygnować z powiadomienia osób, których dane dotyczą, o naruszeniu. W postępowaniu przed UODO utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia o zdarzeniu. Według organu nadzorczego, zaniechanie to sprawia, że osoby nie mogły podjąć działań zaradczych, by chronić swoich praw.
Prezes UODO postanowił, że nakłada administracyjną karę pieniężną oraz nakazał zawiadomić osoby, których dane dotyczą o incydencie.