Naczelny Sąd Administracyjny utrzymał w mocy blisko 550 tys. zł grzywny nałożonej na Santander Bank Polska za złamanie reguł RODO – ogłosił we wtorek Urząd Ochrony Danych Osobowych. Santander BP zakomunikował PAP, że pomimo braku zgody z orzeczeniem sądu, podporządkuje się mu.
„NSA potwierdził stanowisko Prezesa UODO, że poprzez zaniedbanie poprawnego zawiadomienia osób o naruszeniu ochrony ich danych osobowych, bank dopuścił się naruszenia przepisów RODO” – przekazał UODO w oświadczeniu. Jak dodał, UODO nałożył na bank karę pieniężną w wysokości prawie 550 tys. zł i zarządził bezzwłoczne poinformowanie pracowników (gdyż to ich danych dotyczyła nieprawidłowość), m.in. o możliwych konsekwencjach zaistniałej sytuacji, a także działaniach, jakie osoby te mogą podjąć w celu zabezpieczenia się przed negatywnymi skutkami tego zajścia.
Niedopełniona procedura offboardingu. W jaki sposób były pracownik uzyskał dostęp do PUE ZUS?
Zdarzenie, o którym bank sam powiadomił UODO, polegało na tym, że byłemu pracownikowi nie cofnięto uprawnień do Platformy Usług Elektronicznych ZUS (PUE ZUS). „W rezultacie, nawet po ustaniu zatrudnienia w banku, miał on możliwość dostępu do informacji innych pracowników z PUE ZUS na koncie płatnika firmy. Ponadto, dalsze dochodzenie ujawniło, że w ciągu 8 miesięcy aż 5 razy logował się on do platformy, już po wygaśnięciu umowy o pracę” – objaśnił Urząd.
Po analizie tego zawiadomienia prezes UODO uznał, że nastąpiło złamanie zasady poufności danych i „powodowało to znaczne prawdopodobieństwo zagrożenia dla praw lub swobód osób, których te dane dotyczyły”. Z tego względu UODO nakazał administratorowi zawiadomienie wspomnianych osób.
Bank osądził jednak, po własnej analizie, że nie doszło do złamania przepisów RODO, a incydent został zgłoszony jedynie »przez wzgląd na ostrożność«. Co więcej, organizacja oznajmiła również, że nie istnieje konieczność powiadamiania pracowników o incydencie, ponieważ nie niósł on ze sobą wysokiego ryzyka dla ich praw lub swobód” – przekazał Urząd.
Sąd: Kluczowe jest ryzyko, a nie to, czy dane rzeczywiście wyciekły
UODO oznajmił, że NSA 6 marca odrzucił skargę kasacyjną banku w tej sprawie. „NSA przede wszystkim nie zgodził się z argumentacją skarżącego, iż dostęp do danych miała zaufana osoba/odbiorca, co sprawiało, że nie pojawiało się wysokie prawdopodobieństwo naruszenia praw lub swobód osób fizycznych” – przekazał Urząd.
Jak zrelacjonował, w opinii sądu w tym przypadku nie jest ważne, czy osoba nieuprawniona faktycznie zaznajomiła się z danymi osobowymi innych osób, ale fakt, że takie prawdopodobieństwo zaistniało. „W następstwie tego oznacza to, że z uwagi na zakres danych pojawiło się wysokie ryzyko naruszenia praw lub swobód podmiotów danych” – zaznaczył UODO. Zwrócił uwagę, że PUE ZUS udostępnia wgląd do danych w zakresie: imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących informacje dotyczące zdrowia, które są danymi szczególnej kategorii.
Komunikacja „zbyt generalna” – dlaczego bank nie wypełnił obowiązku informacyjnego
UODO poinformował, że bank po zajściu zamieścił na platformie wewnętrznej komunikacji w firmie komunikat przypominający reguły przetwarzania danych osobowych. W ocenie Urzędu wiadomość ta miała zbyt ogólny charakter. „Nie uwzględniono w niej, że incydent faktycznie miał miejsce, więc adresaci nie mieli powodów, by podjąć kroki w celu ochrony swoich danych. Tymczasem właśnie w tym celu istnieje obowiązek informowania o naruszeniu osób, których dane dotyczą, aby mogły one takie działania podjąć i odpowiednio zareagować” – zaakcentował organ nadzorczy.
Zasygnalizował, że informacja na wewnętrznej platformie mogła dotrzeć tylko do obecnych pracowników banku, podczas gdy naruszenie potencjalnie dotyczyło również danych byłych pracowników. „Zaistniały zatem wszelkie przesłanki do powiadomienia tych osób, zwłaszcza że incydent powodował dla nich wysokie ryzyko – dane z PUE ZUS można bowiem użyć do zdobycia informacji o stanie zdrowia, czy zaciągnięcia pożyczki w imieniu osoby, której dane dotyczą” – argumentuje UODO.
Dyrektor Biura Inspektora Ochrony Danych w Santander Bank Polska Magdalena Zielińska w odpowiedzi na pytania PAP zaakcentowała, że sprawa dotyczy wydarzenia z lutego 2021 r. „NSA nie podzielił opinii banku odnośnie do zakresu zawiadomienia, jak i dokonanej przez bank oceny ryzyka. Bank jeszcze w trakcie trwania postępowania, w lipcu 2022 roku, skierował do wszystkich pracowników dodatkowe zawiadomienie i wprowadził kroki naprawcze, aby podobna sytuacja się nie powtórzyła. Nie aprobujemy treści wydanego orzeczenia, jednak w pełni się do niego zastosujemy” – podkreśliła. (PAP)
jls/ mmu/ drag/