bg
Chcę wiedzieć o...
Strona główna
Artykuły
Wysoka kara nałożona przez UODO na Bank za niezawiadomienie o naruszeniu danych osobowych

Wysoka kara nałożona przez UODO na Bank za niezawiadomienie o naruszeniu danych osobowych

Dodano: 2022-03-15
Publikator: chmuraprawna.pl

Prezes UODO nałożył na Santander Bank Polska S. A. administracyjną karę pieniężną w wysokości ponad 545 tys. zł za niezawiadomienie przez Bank osób, których dane dotyczą, o incydencie naruszenia danych osobowych.

Zgodnie art. 34 ust. 1 RODO w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.

Jak można przeczytać w treści uzasadnienia decyzji Prezesa, były pracownik Banku po zakończeniu stosunku pracy miał w dalszym ciągu dostęp do Platformy Usług Elektronicznych ZUS (PUE ZUS) i danych osobowych 10 500 pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia. Mimo że sam pracownik powiadomił Bank o swoim nieuprawnionym dostępie, a następnie Bank powiadomił Prezesa UODO o naruszeniu, to Bank nie zdecydował się powiadomić osób o naruszeniu ich danych.

Bank argumentował, że ryzyko naruszenia praw lub wolności osób fizycznych jest niskie. W okresie od ustania stosunku pracy do powiadomienia o dostępie, miało miejsce tylko 5 logowań do systemów. Bank wskazał dodatkowo, że nie zidentyfikowano nielegalnego przetwarzania danych, a jeśli nawet hipotetycznie doszło do naruszenia ochrony danych osobowych to tylko w zakresie, w jakim były pracownik miał już dostęp do danych w okresie zatrudnienia. Ponadto były pracownik posiadał upoważnienie do przetwarzania danych osobowych w imieniu Banku. Złożył stosowne oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności, a tym samym można go uznać za odbiorcę, choć nieuprawnionego, to jednak „zaufanego” w rozumieniu unijnych wytycznych. Wreszcie sam pracownik poinformował o swoim nieuprawnionym dostępie. W konsekwencji Bank ograniczył się do komunikatu w intranecie o zasadach przetwarzania danych osobowych.

Organ nie podzielił argumentacji Banku. Doszło bowiem do naruszenia poufności danych, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, co aktualizowało obowiązek z art. 54 RODO. Uzasadniając wymiar kary organ wskazał, że status odbiorcy zaufanego posiadają podmioty powiązane więzią faktyczną, a nierzadko prawną, która pozwala na ocenę stopnia zaufania stron, a zatem nie jest nim były pracownik. O braku zaufania świadczyć powinien też fakt, że jednak kilkakrotnie logował się on do systemu i to po zakończeniu stosunku pracy – a więc logowania nie mogły mieć charakteru przypadkowego. Podmiot powiadomił Bank o dostępie, ale dopiero po 8 miesiącach dostępu i po dokonanych logowaniach. Wreszcie dostęp dotyczył danych bardzo dużej liczby –  10 500 osób i to danych wyjątkowo wrażliwych, w tym szczególnej kategorii danych, o których mowa w art. 9 RODO, skoro wśród nich znajdują się dane dotyczące zdrowia.

Organ podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Chodzi o umożliwienie osobie fizycznej dokonanie samodzielnej oceny naruszenia i podjęcia decyzji o zastosowaniu działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem. Dlatego w ocenie Organu zawiadomienie było nieodzowne, a środki podjęte przez Bank były zdecydowanie niewystarczające, skoro nie poinformowano pracowników Banku o naruszeniu.

Pełna treść decyzji dostępna na stronie: https://uodo.gov.pl/pl/138/2303

Materiał Partnera beinsured.pl:

 

Artykuły powiązane

Niewłaściwe zachowanie pracodawcy niekoniecznie jest mobbingiem – postanowienie SN

Sąd Najwyższy w postanowieniu z dnia 14 lutego 2024 r. (sygn. akt II PSK 11/23) uznał, że poczucie pracownika, że pode...

Leasing od A do Z – przewodnik

Pobierz nasz najnowszy przewodnik - Leasing od A do Z! Kliknij tutaj...

Można żądać odszkodowania za sąsiedztwo lotniska – uchwała SN

Sąd Najwyższy w uchwale z dnia 12 kwietnia 2024 r. (sygn. akt CZP 56/23) uznał, że właściciel może żądać odszkodowania z...