Ponad 545 tys. zł musi zapłacić Santander Bank Polska S.A. Administracyjna kara pieniężna w tej kwocie została nałożona w związku z niezawiadomieniem podmiotów danych o naruszeniu. Przybliżamy szczegóły decyzji Prezesa UODO.
Santander Bank Polska S.A. wprawdzie zgłosił do Prezesa UODO naruszenie ochrony danych. Stało się to po stwierdzeniu, że były pracownik banku zachował dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS), mimo że zakończył pracę u administratora. Profil ten był wykorzystywany przez byłego pracownika także po ustaniu zatrudnienia. Dzięki temu mógł on przeglądać dane pozostałych pracowników banku.
Bank Santander wyjaśnił, że naruszenie ochrony danych zgłosił do Prezesa UODO ze względów ostrożności. Po analizie sprawy uznał zaś, że zdarzenie nie rodzi wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Dlatego zrezygnował z zawiadomienia podmiotów danych o naruszeniu. Ograniczył się jedynie do opublikowania na platformie komunikacji wewnętrznej komunikatu przypominającego zasady przetwarzania danych osobowych.
To w ocenie organu nadzorczego nie było wystarczające. Taki komunikat był zdecydowanie zbyt ogólny i nie odnosił się do konkretnego zdarzenia.
Komunikat o naruszeniu ochrony danych dla podmiotów danych powinien odnosić się do konkretnego naruszenia.
Komunikat został skierowany do obecnych pracowników banku, którzy w momencie jego publikacji korzystali z platformy komunikacji wewnętrznej. Tymczasem naruszenie mogło dotknąć wszystkich osób zatrudnionych w banku w czasie, w którym wspomniany już były pracownik miał dostęp do systemu. Te osoby powinny również zostać zawiadomione o naruszeniu, tymczasem tak się nie stało. Administrator konsekwentnie twierdził, że nie miał i nie ma obowiązku zawiadamiania podmiotów danych.
Prezes UODO stanął na stanowisko, że dostęp osoby nieuprawnionej do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą.
Dane osobowe znajdujące się na platformie PUE ZUS mogą być wykorzystane m.in. do:
Mniejsze znaczenie miał fakt, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób. Istotne było wystąpienie realnej możliwości zapoznania się z nimi. Właśnie dlatego stwierdzone powinno zostać wysokie ryzyko naruszenia praw lub wolności podmiotów danych. To zaś rodziło obowiązek zakomunikowania naruszenia podmiotom danych.
To nie pierwsza kara wymierzona bankowi za tego typu naruszenie. Przeczytaj także o karze dla Banku Millenium>>
Poza wysoką karą w wysokości ponad 545 tys. zł Prezes UODO nakazał także spełnienie obowiązku zawiadomienia osób o incydencie.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
