Naczelny Sąd Administracyjny utrzymał w mocy blisko 550 tys. zł kary finansowej nałożonej na Santander Bank Polska za złamanie regulacji RODO – oznajmił we wtorek Urząd Ochrony Danych Osobowych. Santander BP przekazał PAP, że pomimo braku zgody z werdyktem sądu, podporządkuje się mu.
„NSA zgodził się z Prezesem UODO, że w wyniku niedopełnienia obowiązku właściwego poinformowania osób o pogwałceniu ochrony ich danych osobowych, bank dopuścił się złamania przepisów RODO” – przekazał UODO w komunikacie. Jak dodał, UODO zarządził dla banku karę pieniężną w wysokości blisko 550 tys. zł oraz polecił bezzwłoczne zawiadomienie pracowników (ponieważ ich dane były przedmiotem naruszenia), m.in. o możliwych następstwach tej sytuacji, jak również środkach, za pomocą których te osoby mogą uchronić się przed negatywnymi skutkami owego incydentu.
Niedopełniona procedura offboardingu. W jaki sposób były pracownik uzyskał dostęp do PUE ZUS?
Incydent, który bank sam zgłosił do UODO, dotyczył faktu, iż byłemu pracownikowi nie cofnięto uprawnień dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). „W konsekwencji, nawet po ustaniu zatrudnienia w banku, miał on możliwość dostępu do danych innych pracowników z PUE ZUS na koncie płatnika firmy. Co więcej, dalsze postępowanie wykazało, że w ciągu 8 miesięcy aż 5-krotnie logował się on do platformy, już po wygaśnięciu stosunku pracy” – objaśnił Urząd.
Po przeanalizowaniu tego zgłoszenia prezes UODO uznał, że doszło do naruszenia prywatności danych, co „pociągało za sobą wysokie niebezpieczeństwo dla praw lub swobód osób, których te dane dotyczyły”. Z tej przyczyny UODO zobowiązał administratora do poinformowania tych osób.
Bank jednak, po swojej analizie, wywnioskował, że nie doszło do pogwałcenia regulacji RODO, a incydent został zgłoszony wyłącznie »z przezorności«. Ponadto, spółka orzekła również, że nie istnieje konieczność informowania pracowników o incydencie, gdyż nie wywoływał on wysokiego ryzyka dla ich praw lub swobód” – obwieścił Urząd.
Sąd: Kluczowe jest ryzyko, a nie to, czy dane rzeczywiście wyciekły
UODO zakomunikował, że NSA w dniu 6 marca odrzucił skargę kasacyjną banku w tej materii. „NSA w szczególności nie zgodził się z argumentacją skarżącego, iż dostęp do danych miała osoba/odbiorca godna zaufania, co powodowało, że nie wystąpiło wysokie niebezpieczeństwo naruszenia praw lub swobód osób fizycznych” – powiadomił Urząd.
Jak relacjonował, zdaniem sądu, w tej sytuacji nie jest zasadnicze to, czy osoba bez upoważnienia rzeczywiście zapoznała się z danymi osobowymi innych osób, ale to, że pojawiło się takie niebezpieczeństwo. „W rezultacie oznacza to, że ze względu na zakres danych zaistniało wysokie ryzyko pogwałcenia praw lub swobód podmiotów danych” – podkreślił UODO. Zwrócił uwagę, iż PUE ZUS daje możliwość dostępu do danych w zakresie: imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, które to są danymi szczególnej kategorii.
Komunikacja „nazbyt ogólna” – z jakiego powodu bank nie dopełnił powinności informacyjnej
UODO poinformował, iż po incydencie bank umieścił na platformie komunikacji wewnętrznej w firmie komunikat przypominający zasady przetwarzania danych osobowych. W ocenie Urzędu, informacja ta cechowała się zbyt ogólnym charakterem. „Nie zaznaczono w niej, że incydent faktycznie miał miejsce, toteż odbiorcy nie mieli powodów, aby podjąć działania w celu zabezpieczenia swoich danych. Tymczasem właśnie w tym celu istnieje powinność informowania o naruszeniu osób, których dane dotyczą, by mogły one takie działania podjąć i odpowiednio zareagować” – zaakcentował organ nadzorczy.
Zaznaczył, iż informacja na wewnętrznej platformie mogła trafić tylko do obecnych pracowników banku, tymczasem naruszenie potencjalnie dotyczyło także danych byłych pracowników. „Zaistniały zatem wszelkie przesłanki do powiadomienia tych osób, szczególnie że incydent wywoływał dla nich wysokie niebezpieczeństwo – dane z PUE ZUS można bowiem spożytkować do uzyskania danych o stanie zdrowia, czy zaciągnięcia pożyczki w imieniu osoby, której dane dotyczą” – utrzymuje UODO.
Dyrektor Biura Inspektora Ochrony Danych w Santander Bank Polska Magdalena Zielińska w odpowiedzi na pytania PAP podkreśliła, że sprawa dotyczy wydarzenia z lutego 2021 r. „NSA nie poparł stanowiska banku co do zakresu powiadomienia, jak i dokonanej przez bank oceny ryzyka. Bank jeszcze w toku postępowania, w lipcu 2022 roku, skierował do wszystkich pracowników dodatkowe powiadomienie i wprowadził środki naprawcze, aby podobna sytuacja się nie powtórzyła. Nie aprobujemy treści wydanego orzeczenia, jednak w pełni się do niego dostosujemy” – zaakcentowała. (PAP)
jls/ mmu/ drag/