Prezes UODO nałożył karę na Santander Bank Polska S.A.

Prezes UODO nałożył administracyjną karę pieniężną na Santander Bank Polska S.A. za naruszenie ochrony danych osobowych, polegające na niezawiadomieniu osób dotkniętych naruszeniem. Decyzja wynikała z braku zaufania do byłego pracownika, który uzyskał nieuprawniony dostęp do danych. W oparciu o RODO, Prezes UODO uznał naruszenie poufności danych za poważne, nakazując zawiadomienie osób dotkniętych incydentem.

Tematyka: Prezes UODO, Santander Bank Polska S.A., ochrona danych osobowych, RODO, karanie za naruszenia, poufność danych, zawiadomienie o naruszeniu, wysoka kara pieniężna

Prezes UODO stwierdził naruszenie przez Santander Bank Polska S.A. z siedzibą w Warszawie przepisów art.
34 ust. 1 RODO, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej
zwłoki osób, których dane dotyczą, i nałożył administracyjną karę pieniężną w wysokości 545 748 złotych
Jednocześnie nakazał zawiadomienie w terminie 3 dni od dnia doręczenia decyzji, osób, których dane
dotyczą, o naruszeniu ochrony ich danych osobowych.
Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęło zgłoszenie naruszenia ochrony
danych, dokonane przez Santander Bank Polska S.A. (dalej: Administrator), informujące o naruszeniu ochrony
danych osobowych 10.500 osób. Naruszenie polegało na posiadaniu przez byłego pracownika, któremu nie
odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych ZUS (dalej: PUE ZUS),
nieuprawnionego dostępu do platformy, co spowodowało, że mógł przeglądać znajdujące się na profilu płatnika dane
pracowników Administratora w zakresie ich imion i nazwisk, nr PESEL, adresów zamieszkania lub pobytu oraz
informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.
Ustalono, że były pracownik pięciokrotnie logował się do platformy PUE ZUS po zakończeniu stosunku pracy,
zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników.
Prezes UODO wskazał, iż analiza przedmiotowego naruszenia uwzględniająca charakter naruszenia, czas jego
trwania, kategorie danych, liczbę osób, których naruszenie dotyczyło, a także zastosowane środki naprawcze,
doprowadziła do stwierdzenia, iż doszło do naruszenia poufności danych. Z uwagi na to, że niniejsze naruszenie
poufności wiązało się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, konieczne było
zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, zgodnie z obowiązkiem
wyrażonym w art. 34 w związku z art. 12 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679
z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie
danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).
Wobec dalszego braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie,
Prezes UODO wszczął wobec Administratora postępowanie administracyjne w tym przedmiocie.
Z uzasadnienia decyzji Prezesa UODO
Ustosunkowując się do wyjaśnień Administratora, należy wskazać, że w omawianej sprawie wątpliwości budzi
kwestia zaufania Administratora do nieuprawnionego odbiorcy – byłego pracownika. Administrator argumentował
brak zawiadomienia o naruszeniu osób, których dane dotyczą, niskim ryzykiem dla praw lub wolności tych osób,
wynikającym z faktu, iż podmiot posiadający nieuprawniony dostęp do platformy PUE ZUS był wieloletnim
pracownikiem Administratora. Przed ustaniem zatrudnienia miał dostęp do danych osobowych pozostałych
pracowników, przetwarzanych przez Administratora w celach kadrowo-płacowych, co też w ocenie Administratora
prowadziło do uznania podmiotu nieuprawnionego za odbiorcę zaufanego.
Zdaniem Prezesa UODO nie można uznać byłego pracownika za odbiorcę zaufanego, wobec czego Administrator
powinien był zachować się w sposób bardziej ostrożny w przypadku ujawnienia danych osobie nieuprawnionej,
a więc zawiadomić o naruszeniu ochrony danych osobowych osoby, których dane dotyczą, zakładając, że naruszenie
może wywołać szersze skutki.
W oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent
bezpieczeństwa może powodować dla niej negatywne konsekwencje, i podjąć odpowiednie działania zaradcze.
Również w oparciu o informacje przekazane przez Administratora, dotyczące opisu charakteru naruszenia
i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny,
czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych
osobowych w sposób zapewniający ich bezpieczeństwo.
Jako kolejny argument uzasadniający niezawiadomienie o naruszeniu osób, których dane dotyczą, Administrator
wskazał na brak precyzyjnie określonego obszaru danych i kręgu pracowników, których dane dotyczą, co nie
pozwalało na identyfikację zagrożenia. Prezes UODO stwierdził, że sam fakt braku precyzyjnie określonego kręgu
pracowników, których naruszenie dotyczy, nie stanowi przeszkody dla realizacji obowiązku wynikającego z art. 34
RODO. Formą przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, biorąc pod

uwagę brak precyzyjnie określonego kręgu podmiotów, których naruszenie dotyczyło, może być komunikat publiczny,
np. zamieszczony w Intranecie.
Prezes UODO za niezasadne uznał wnioski dowodowe wskazane przez Administratora, gdyż w jego ocenie
zgromadzony w sprawie materiał dowodowy jest wystarczający do rozstrzygnięcia sprawy, a okoliczności będące
przedmiotem dowodu nie miały znaczenia dla sprawy. Ponadto Organ nie ma obowiązku uwzględniania wszystkich
wniosków strony.
Biorąc pod uwagę powyższe, Administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą,
o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Administratora tego
przepisu.
Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej, Prezes UODO, stosownie do treści art. 83
ust. 2 lit. a)-k) RODO, wziął pod uwagę następujące okoliczności sprawy. Po pierwsze stwierdzone w niniejszej
sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane
dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu
ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały
naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Nie bez znaczenia pozostaje również długi czas
trwania tego naruszenia.
Dodatkowo za okoliczność obciążającą uznano fakt, iż naruszenie polegające na niezawiadomieniu osób
o naruszeniu ochrony ich danych osobowych obejmowało dane osobowe wielu osób, dotyczyło bowiem wszystkich
pracowników Administratora. Pomimo iż w niniejszej sprawie brak jest dowodów, aby osoby, do danych których
dostęp uzyskała osoba nieuprawniona, doznały szkody majątkowej, to już samo naruszenie poufności ich danych
stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony,
mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą
tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową.
Administrator podjął świadomą decyzję o rezygnacji z powiadomienia osób, których dane dotyczą, o naruszeniu
ochrony ich danych osobowych. Wola ta została ujawniona i była konsekwentnie podtrzymywana przez
Administratora w postępowaniu prowadzonym przed Prezesem UODO, w trakcie którego Prezes UODO w pierwszej
kolejności informował Administratora o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony
danych oraz o możliwości wystąpienia w sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których
dotyczyło naruszenie. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie
obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej
wątpliwości co do własnej oceny skutków naruszenia.

Ponadto stwierdzone zostały wcześniejsze naruszenia przepisów RODO przez Administratora, w obu przypadkach
Prezes UODO udzielił upomnienia za naruszenie ww. przepisów.
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę ze strony Administratora. Ocena ta
dotyczy reakcji Administratora na pisma Prezesa UODO, informujące o obowiązkach ciążących na Administratorze
w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego
w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa
UODO działania, które mogłyby spowodować brak negatywnych konsekwencji dla praw danych osób lub bardziej
ograniczony wpływ tych konsekwencji niż mogłoby to mieć miejsce, nie zostały podjęte przez Administratora nawet
po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.

Dane osobowe, do których możliwy dostęp uzyskała osoba nieuprawniona, a których dotyczyło zgłoszone przez
Administratora naruszenie ochrony danych osobowych, stanowią szeroki zakres, a ponadto należą do szczególnych
kategorii danych osobowych, o których mowa w art. 9 RODO. Wśród nich znajdują się dane dotyczące zdrowia
(informacje o zwolnieniach lekarskich), co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób
fizycznych. Niepowiadomienie osób, których dane dotyczą, o naruszeniu poufności ich danych osobowych, musi być
oceniane surowiej, gdy dotyczy danych osobowych szczególnej kategorii.
Za naruszenie Prezes UODO nałożył na Administratora administracyjną karę pieniężną w kwocie 545.748
złotych (równowartość 120.000 EUR).

Komentarz
Na fakt zastosowania przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej
wysokość, żadnego wpływu nie miały inne, wskazane w art. 83 ust. 2 RODO okoliczności, takie jak działania podjęte
przez Administratora w celu zminimalizowania szkody czy stopień odpowiedzialności Administratora w związku
z zastosowanymi środkami technicznymi i organizacyjnymi (zgodnie z art. 25 i art. 32 RODO).
Również sposób, w jaki Organ nadzorczy dowiedział się o naruszeniu, nie wypłynął na fakt zastosowana sankcji i na

jej wysokość.

Decyzja Prezesa UODO z 19.1.2022 r., DKN.5131.33.2021,

Prezes UODO nałożył karę pieniężną na Santander Bank Polska S.A. za naruszenie ochrony danych osobowych, polegające na niezawiadomieniu osób dotkniętych naruszeniem, oraz brak zaufania do byłego pracownika. Decyzja została podjęta z uwzględnieniem powagi naruszenia, wysokiego ryzyka dla praw osób fizycznych oraz wcześniejszych naruszeń przepisów RODO przez Administratora.