Santander Bank surowo ukarany za naruszenie RODO

545 tys. zł kary administracyjnej ma zapłacić Santander Bank Polska S. A. za niezawiadomienie bez zbędnej zwłoki obecnych i byłych pracowników Banku, że mogło dojść do naruszenia poufności ich danych osobowych.

Publikacja: 22.02.2022 10:34

Santander Bank surowo ukarany za naruszenie RODO

Foto: Adobe Stock

dgk

Santander Bank zgłosił do Urzędu Ochrony Danych Osobowych naruszenie RODO po tym, gdy stwierdził, że były pracownik Banku mimo posiada nieuprawniony dostęp do profilu Banku jako płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS). Mógł on przeglądać znajdujące się na tym profilu dane pracowników Banku i być może to uczynił, gdyż ustalono, że po zakończeniu pracy w Santander Banku pięciokrotnie logował się do platformy korzystając z uprawień uzyskanych zanim rozwiązany został stosunek zatrudnienia.

Prezes UODO uznał, że doszło do naruszenia poufności danych i powstania wysokiego ryzyka dla naruszenia praw lub wolności osób, których dane te dotyczą. Konieczne było więc ich zawiadomienie o całym incydencie.

Bank inaczej ocenił ryzyko. Jak wyjaśnił, zgłoszenia do UODO dokonał jedynie z ostrożności, a po analizie sprawy uznał, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Dlatego osoby, których dane dotyczą, nie zostały zawiadomione o naruszeniu. Na platformie komunikacji wewnętrznej Bank umieścił jedynie komunikat przypominający zasady przetwarzania danych osobowych.

W ocenie PUODO komunikat był zbyt ogólny, nie odnosił się do konkretnego przypadku, zaprezentowano w nim tylko przykładowe naruszenia RODO. Zabrakło wskazania, że w Banku doszło do ryzykownego zdarzenia i potencjalny odbiorca nie miał żadnych powodów, aby potraktować go poważnie, wyciągnąć z niego wnioski i odpowiednio zareagować.

Czytaj więcej

Samorząd i administracja

Nie odbierali korespondencji z urzędu. Zapłacą 18 tys. zł kary

Urząd Ochrony Danych Osobowych nałożył na spółkę 18 tys. zł kary za niepodejmowanie korespondencji.

PUODO miał także zastrzeżenia do wyboru adresatów komunikatu - byli to jedynie aktualni pracownicy Banku, którzy mają możliwość korzystania z platformy komunikacji wewnętrznej. Tymczasem o naruszeniu powinny zostać powiadomione wszystkie osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty.

W ocenie PUODO dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in.: do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych. Dostęp do danych o tak szerokim zakresie stwarza wysokie ryzyko dla praw lub wolności osób, których dane dotyczą.

- W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych - wskazuje organ nadzorczy.

Podkreśla też, że administrator świadomie zdecydował o rezygnacji z powiadomienia osób, których dane dotyczą, o zaistniałym naruszeniu i w postępowaniu przed PUODO konsekwentnie utrzymywał, że nie zamierza wypełnić obowiązku zawiadomienia.
Ta decyzja powoduje, że osoby potencjalnie dotknięte incydentem nie mogą podjąć działań zaradczych i właściwych kroków w celu ochrony swoich praw. Co więcej, decyzja Banku może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone.

tych powodów Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł, ale także nakazał spełnienie obowiązku wynikającego z RODO jakim jest zawiadomienie osób o zaistniałym incydencie.

BANCO SANTANDER Dane Osobowe RODO

Pozostało 86% artykułu

Podatki

Skarbówka zażądała 240 tys. zł podatku od odwołanej darowizny. Jest wyrok NSA

Naliczenia podatku od spadków i darowizn, gdy w wyniku odwołania darowizny doszło do skutecznego anulowania podstawy przysporzenia i jego zwrotu, nie da się pogodzić z konstytucją – uznał NSA.

Materiał Promocyjny

Nowe Audi a5 już tu jest! Wylicz swoją ratę w leasingu 100% online!

Prawo w Polsce

Jest apel do premiera Tuska o usunięcie "pomnika rządów populistycznej władzy"

Amnesty International Polska oraz sześć innych organizacji zwróciło się do premiera Donalda Tuska o zainicjowanie przez rząd procesu legislacyjnego prowadzącego do nowelizacji ustawy prawo o zgromadzeniach.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Praca, Emerytury i renty

Ile trzeba zarabiać, żeby na konto trafiło 5000 zł

Zastanawiasz się, ile musisz zarabiać brutto, by na Twoje konto wpływało 5000 zł netto? Kwota ta znacząco różni się w zależności od formy zatrudnienia.

Materiał Promocyjny

Klimat a portfele: Czy koszty transformacji zniechęcą Europejczyków?

Europejczycy są coraz bardziej przekonani, że mogą wpłynąć na ochronę klimatu poprzez zmianę codziennych nawyków

Warszawa, 26.02.2024. Minister sprawiedliwości, prokurator generalny Adam Bodnar oraz wceminister sp

Prawo karne

Rząd zmniejsza liczbę więźniów. Będzie 20 tys. wakatów w celach

W polskich aresztach i zakładach karnych przebywa o ponad 5 tys. więźniów mniej niż przed rokiem. Częściej wychodzą na wolność przed zakończeniem odbywania kary. - To dobra wiadomość - chwali ekspert.

Materiał Promocyjny

Opel Movano w leasingu 105% – sprawdź teraz!

Dane osobowe

PUODO o KROPiK: rejestr zwierząt niebezpieczny dla ludzi

Sam cel utworzenia Krajowego Rejestru Oznakowanych Psów i Kotów jest słuszny, ale przetwarzanie danych o nawet 12 milionach właścicieli psów i kotów, powinno odbywać się z ograniczeniem ryzyka dla tych danych - twierdzi Prezes Urzędu Ochrony Danych Osobowych, który został pominięty w procesie opiniowania projektu.

Kadry i Płace

Czy szef może zmusić pracownika do zaszczepienia się?

Obowiązkiem pracodawców jest ochrona życia i zdrowia pracowników. Czy w zakresie tego obowiązku firma może wymagać szczepienia, pytać o nie albo zwolnić za jego brak?

Rzecz o prawie

Przemysław Sotowski: Nie sprowadzajmy AI do danych osobowych

Czasy się zmieniają, a prawnicy specjalizujący się w ochronie danych osobowych nadal twierdzą, że to Urząd Ochrony Danych Osobowych powinien kontrolować dane i sztuczną inteligencję.

Rzecz o prawie

Anna Nowacka-Isaksson: Jak łatwo uśmiercić obywatela

Jonathan R. wnosi skargę przeciwko państwu za uznanie go za zmarłego.

Dane osobowe

Sąd nakazał prokuraturze zająć się wyciekiem z Pandabuy

Sąd Rejonowy dla Warszawy-Śródmieścia uznał, że prokuratura musi zająć się sprawą zawiadomienia Prezesa UODO dotyczącego podejrzenia popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com.

Kamery zainstalowane na prywatnym terenie nie mogą nagrywać sąsiednich posesji

Dobra osobiste

Monitoring u sąsiada: Co może rejestrować kamera? Przepisy są jasne

Instalacja systemu monitoringu na posesji to jeden ze sposobów na zwiększenie bezpieczeństwa domowników. Choć montaż kamer jest legalny, istnieją pewne ograniczenia dotyczące tego, co urządzenia mogą rejestrować.

NSA odpowiedział: Czy trzeba usunąć dane z komputera byłego pracownika?

Dane osobowe

NSA: Czy trzeba usunąć dane z komputera byłego pracownika?

Firma może przechowywać dane dotyczące byłych pracowników na wypadek przyszłych spraw sądowych.

Oszuści mają wiele sposobów na to, by wykraść dane

Dane osobowe

Wyłudzenia danych to już plaga. Jak oszuści kradną hasła i PESEL?

Oszuści ciągle znajdują nowe sposoby na to, by wykraść dane – często ich celem są hasła, dane osobowe czy numery PESEL. Jakich metod używają i na co warto uważać?