Naczelny Sąd Administracyjny utrzymał w mocy karę blisko 550 tys. zł, którą nałożono na Santander Bank Polska za pogwałcenie reguł RODO – przekazał we wtorek Urząd Ochrony Danych Osobowych. Santander BP oznajmił PAP, że pomimo braku akceptacji dla decyzji sądu, bank się do niej podporządkuje.
„NSA poparł stanowisko Prezesa UODO, że w wyniku zaniechania należytego poinformowania osób o pogwałceniu ochrony ich danych osobowych, bank naruszył przepisy RODO” – zawiadomił UODO w komunikacie. Jak dodał, UODO obciążył bank karą w wysokości blisko 550 tys. zł i zarządził bezzwłoczne poinformowanie pracowników (ponieważ to ich danych dotyczyło naruszenie), m.in. o możliwych konsekwencjach zaistniałej sytuacji, jak również sposobach, w jaki osoby te mogą się ustrzec przed negatywnymi skutkami tego zajścia.
Niedopełniony offboarding. W jaki sposób były pracownik zyskał dostęp do PUE ZUS?
Zdarzenie, które bank sam zgłosił do UODO, polegało na tym, że byłemu pracownikowi nie odebrano uprawnień dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). „W następstwie tego, nawet po ustaniu zatrudnienia w banku, miał on wgląd do danych innych pracowników z PUE ZUS na profilu płatnika firmy. Ponadto, dalsze postępowanie ujawniło, że w okresie 8 miesięcy aż 5-krotnie logował się on do platformy, już po wygaśnięciu umowy o pracę” – objaśnił Urząd.
Po przeanalizowaniu tego zgłoszenia prezes UODO uznał, że doszło do złamania zasad poufności danych i „wywoływało to wysokie ryzyko dla praw lub swobód osób, których te dane dotyczyły”. Z tej przyczyny UODO nakazał administratorowi zawiadomienie tych osób.
Jednakże bank uznał, po swej analizie, że nie doszło do naruszenia przepisów RODO, a incydent został zaraportowany jedynie »z przezorności«. Co więcej, spółka stwierdziła również, że nie ma potrzeby informowania pracowników o zajściu, ponieważ nie generowało ono wysokiego ryzyka dla ich praw lub swobód” – doniósł Urząd.
Sąd: Istotne jest ryzyko, a nie fakt, czy dane rzeczywiście przeciekły
UODO zawiadomił, że NSA 6 marca oddalił skargę kasacyjną banku w tej sprawie. „NSA przede wszystkim nie zgodził się z argumentem skarżącego, że do danych dostęp miała osoba/odbiorca obdarzona zaufaniem, co powodowało, że nie wystąpiło poważne ryzyko naruszenia praw lub swobód osób fizycznych” – oznajmił Urząd.
Jak relacjonował, zdaniem sądu w tym przypadku nie ma znaczenia, czy osoba bez upoważnienia faktycznie zaznajomiła się z danymi osobowymi innych osób, ale to, że takie ryzyko się pojawiło. „W rezultacie oznacza to, że z uwagi na zakres danych wystąpiło duże ryzyko naruszenia praw lub swobód podmiotów danych” – podkreślił UODO. Zwrócił uwagę, że PUE ZUS udostępnia wgląd do danych w zakresie: imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, które są danymi specjalnej kategorii.
Komunikacja „zbyt ogólna” – z jakiego powodu bank nie dopełnił obowiązku informacyjnego
UODO poinformował, że po incydencie bank umieścił na platformie wewnątrzzakładowej komunikacji w firmie ogłoszenie przypominające zasady operowania danymi osobowymi. Według Urzędu wiadomość ta cechowała się zbyt ogólnym charakterem. „Nie zaznaczono w niej, że incydent miał faktycznie miejsce, w związku z czym odbiorcy nie mieli powodów by podjąć działania celem zabezpieczenia swoich danych. Tymczasem właśnie w tym celu istnieje obowiązek informowania o naruszeniu osób, których dane dotyczą, by mogły one takie działania podjąć i właściwie zareagować” – uwydatnił organ nadzorczy.
Zaznaczył, że informacja na wewnętrznej platformie mogła dotrzeć tylko do aktualnych pracowników banku, natomiast naruszenie potencjalnie obejmowało również dane byłych pracowników. „Zaistniały więc wszelkie przesłanki do powiadomienia tych osób, zwłaszcza że incydent powodował dla nich poważne ryzyko – dane z PUE ZUS można bowiem spożytkować do pozyskania danych o stanie zdrowia, czy wzięcia pożyczki w imieniu osoby, której dane dotyczą” – sądzi UODO.
Dyrektor Biura Inspektora Ochrony Danych w Santander Bank Polska Magdalena Zielińska w odpowiedzi na zapytania PAP zaakcentowała, że sprawa odnosi się do zdarzenia z lutego 2021 r. „NSA nie zgodził się ze stanowiskiem banku co do zakresu notyfikacji, jak i przeprowadzonej przez bank oceny ryzyka. Bank jeszcze w toku procedury, w lipcu 2022 roku, skierował do wszystkich pracowników dodatkowe powiadomienie oraz wprowadził środki naprawcze, aby analogiczna sytuacja się nie powtórzyła. Nie aprobujemy treści wydanego orzeczenia, jednak całkowicie się do niego zastosujemy” – podkreśliła. (PAP)
jls/ mmu/ drag/