Kolejna kara Prezesa UODO cenną wskazówką dla wszystkich administratorów

Prezes Urzędu Ochrony Danych Osobowych nałożył karę pieniężną na Santander Bank Polska S.A. w wysokości ponad pół miliona złotych (545.748 zł). Jakie naruszenie kryje się za najnowszą decyzją organu oraz na co powinni zwrócić uwagę administratorzy?

Tło sprawy nałożenia kary przez Prezesa UODO

Najnowsza kara została nałożona na Santander, związku z niezawiadomieniem bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu.

Incydent ochrony danych osobowych został zgłoszony do UODO przez Santander jako administratora danych – po stwierdzeniu, że jego były pracownik, mimo ustania stosunku pracy, w dalszym ciągu miał dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). W konsekwencji mógł on w dalszym ciągu przeglądać dane nadal zatrudnionych pracowników Santander (około 10 500 osób). Jak wykazało postępowanie, pracownik w sposób nieuprawniony, po zakończeniu stosunku pracy, kilkukrotnie wykorzystał przyznany dostęp.

Prezes UODO uznał, że w wyniku zaistniałej sytuacji miało miejsce naruszenie poufności danych, które mogło rodzić wysokie ryzyko naruszenia praw lub wolności podmiotów danych, a w konsekwencji niezbędne jest ich zawiadomienie o wystąpieniu naruszenia.

Innego zdania był jednak Bank. Jego zdaniem wobec niezidentyfikowania nielegalnego przetwarzania danych, nie doszło do naruszenia ochrony danych osobowych w myśl przepisów RODO i wobec tego nie ma konieczności zawiadamiania o tym podmiotów danych, a zgłoszenie naruszenia zostało dokonane jedynie ostrożnościowo.

W ramach wdrożenia środków zapobiegawczych, Santander zamieścił w wewnętrznej platformie ogólny komunikat przypominający zasady przetwarzania danych osobowych w organizacji. Organ uznał, że tego rodzaju informacja nie jest wystarczająca, ponieważ nie wzbudza respektu u odbiorcy, nie pozwala na wyciągnięcie odpowiednich wniosków na przyszłość oraz nie daje przekazu na wyraźne zachowanie ostrożności w zakresie przetwarzania danych.

Co więcej, UODO uznał, że krąg odbiorców komunikatu był zbyt wąski i że o naruszeniu powinni zostać powiadomieni wszyscy pracownicy, którzy w okresie naruszenia byli zatrudnieni w Santander.

Na co zwrócił uwagę Prezes UODO?

Organ nadzorczy ocenił, że dostęp do danych osobowych w takim zakresie, w jakim miało to miejsce w ramach wyżej opisanego zdarzenia, rodzi ryzyko naruszenia praw lub wolności osób, których dane dotyczą – chociażby poprzez uzyskanie wglądu do danych o stanie zdrowia.

W ocenie Prezesa UODO, umyślne niezawiadomienie przez Bank jako administratora danych osób, których dane dotyczą, blokuje możliwość podjęcia przez nie środków zaradczych oraz odpowiednich działań do ochrony ich praw, a także może wiązać się ze szkodami majątkowymi lub niemajątkowymi.

Przy wydawaniu decyzji Prezes UODO wziął także pod uwagę fakt niezadowalającego poziomu współpracy po stronie Banku w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych skutków. Podkreślił również, że na wydaną decyzję wpływ miały wcześniejsze naruszenia przepisów RODO przez Bank – w każdym przypadku Santander otrzymał upomnienie.

Wskazówki dla wszystkich administratorów danych osobowych

Zwracamy uwagę, że zdarzenia polegające na niecofnięciu uprawnień byłym pracownikom do aplikacji / programów elektronicznych to powtarzające się zjawisko. Uczulamy Państwa na konieczność szczegółowej kontroli zakresu upoważnień udzielanych pracownikom i wypracowania praktyki ich technicznego cofania skutkującego fizycznym brakiem dostępu.

Prawidłowa ocena wystąpienia naruszenia, dotychczasowe zgłoszone incydenty, współpraca z Prezesem UODO oraz wdrażanie jego zaleceń, zakres oraz skala naruszonych danych osobowych, a także podjęte odpowiednie środki zaradcze, mogą mieć kluczowe znaczenie w postępowaniu prowadzonym przez Prezesa UODO.

Zalecamy wszystkim administratorom danych osobowych, aby każde naruszenie dokładnie zweryfikować oraz w razie potrzeby podjąć odpowiednie kroki. Jak wynika z wydawanych przez UODO decyzji, jedynie szybka reakcja oraz dobra współpraca może uchronić administratorów przed poważnymi konsekwencjami. W razie potrzeby analizy oraz oceny konkretnego naruszenia oraz wątpliwości w zakresie dalszych kroków, nasi doradcy pozostają do dyspozycji.

Z pełną treścią decyzji Prezesa UODO w przedmiotowej sprawie można zapoznać się pod linkiem.

Katarzyna Wężyk
Associate | Dział prawny
katarzyna.wezyk@olesinski.com

Anita Nowicka
Associate | Dział prawny
anita.nowicka@olesinski.com