Naczelny Sąd Administracyjny utrzymał niemal 550 tys. zł kary dla Santander Bank Polska za naruszenie przepisów RODO. Sprawa dotyczyła dostępu byłego pracownika do danych innych pracowników w systemie PUE ZUS.
„NSA przyznał rację Prezesowi UODO, że przez zaniechanie właściwego powiadomienia osób o naruszeniu ochrony ich danych osobowych bank naruszył przepisy RODO” - przekazał UODO w komunikacie. Jak dodał, UODO nałożył na bank karę w wysokości niemal 550 tys. zł i nakazał niezwłoczne powiadomienie pracowników (gdyż to ich danych dotyczyło naruszenie), m.in. o potencjalnych konsekwencjach tej sytuacji, a także środkach, w jaki sposób osoby te mogą się zabezpieczyć przed negatywnymi skutkami tego incydentu.
Były pracownik miał dostęp do danych w PUE ZUS
Incydent, który bank sam zgłosił do UODO polegał na tym, że byłemu pracownikowi nie odebrano dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). „W efekcie, nawet po zakończeniu pracy w banku, miał on dostęp do danych innych pracowników z PUE ZUS na profilu płatnika firmy. Co więcej, dalsze postępowanie wykazało, że na przestrzeni 8 miesięcy aż 5-krotnie logował się on do platformy, już po wygaśnięciu umowy o pracę” - wyjaśnił Urząd.
Po analizie tego zgłoszenia prezes UODO stwierdził, że doszło do naruszenia poufności danych i „rodziło to wysokie ryzyko dla praw lub wolności osób, których te dane dotyczyły”. Z tego powodu UODO nakazał administratorowi powiadomienie tych osób. „Bank uznał jednak, po własnej analizie, że nie doszło do naruszenia przepisów RODO, a incydent został zgłoszony jedynie »z ostrożności«. Co więcej, spółka stwierdziła też, że nie ma konieczności informowania pracowników o incydencie, gdyż nie rodził on wysokiego ryzyka dla ich praw lub wolności” - przekazał Urząd.
Poinformował, że NSA 6 marca oddalił skargę kasacyjną banku w tej sprawie. „NSA w szczególności nie zgodził się z argumentem skarżącego, że dostęp do danych miała zaufana osoba/odbiorca, co powodowało, że nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych” - przekazał Urząd.
Jak relacjonował, według sądu w tej sprawie nie jest istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko. „W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych” - wskazał UODO. Zwrócił uwagę, że PUE ZUS umożliwia dostęp do danych w zakresie: imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, które są danymi szczególnej kategorii.
Jakie dane były dostępne w systemie?
UODO poinformował, że bank po incydencie zamieścił na platformie wewnętrznej komunikacji w firmie komunikat przypominający zasady przetwarzania danych osobowych. Zdaniem Urzędu informacja ta miała zbyt ogólny charakter. „Nie wskazano w niej, że incydent miał faktycznie miejsce, więc odbiorcy nie mieli powodów by podjąć działania w celu zabezpieczenia swoich danych. Tymczasem właśnie po to istnieje obowiązek informowania o naruszeniu osób, których dane dotyczą, by mogły one takie działania podjąć i odpowiednio zareagować” - podkreślił organ nadzorczy.
Zaznaczył, że informacja na wewnętrznej platformie mogła dotrzeć tylko do obecnych pracowników banku, tymczasem naruszenie potencjalnie obejmowało też dane byłych pracowników. „Zaszły więc wszelkie przesłanki do powiadomienia tych osób, zwłaszcza że incydent powodował dla nich wysokie ryzyko – dane z PUE ZUS można bowiem wykorzystać do zdobycia danych o stanie zdrowia, czy zaciągnięcia pożyczki w imieniu osoby, której dane dotyczą” - uważa UODO. (PAP)
(planujemy kontynuację tematu)
jls/ mmu/
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu