Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/13

Kraj:

Polska

Data wydania decyzji:

19.01.2022 r.

Podmiot kontrolowany:

Santander Bank Polska S.A.

Wysokość kary (EUR):

117.000

Podstawa prawna naruszenia

Art. 34 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Santander Bank Polska S.A. wynikało z nieodebrania dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS) byłemu pracownikowi po zakończeniu stosunku pracy. Były pracownik miał nieuprawniony dostęp do danych osobowych pracowników banku, w tym imion, nazwisk, numerów PESEL, adresów zamieszkania oraz informacji o zwolnieniach lekarskich.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: Santander zgłosił naruszenie ochrony danych osobowych 10 500 osób do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w lutym 2021 roku.
  2. Dostęp do danych: Były pracownik pięciokrotnie logował się do platformy PUE ZUS w okresie od czerwca 2020 do lutego 2021 roku, uzyskując nieuprawniony wgląd w dane osobowe pracowników banku.
  3. Brak zawiadomienia: Bank nie zawiadomił osób, których dane dotyczyły naruszenie, argumentując, że były pracownik miał dostęp do szerszego katalogu danych w trakcie zatrudnienia.
  4. Działania UODO: Prezes UODO zwrócił się do banku o wyjaśnienia i wskazanie konkretnych obszarów platformy PUE ZUS, które były przeglądane przez byłego pracownika oraz liczby pracowników, których dane były dostępne.
  5. Odpowiedź banku: Bank potwierdził, że były pracownik miał dostęp do danych osobowych, ale uznał, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu przepisów RODO.
  6. Decyzja UODO: Prezes UODO stwierdził, że doszło do naruszenia poufności danych, co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Nałożono na bank administracyjną karę pieniężną w wysokości 545 748 PLN oraz nakazano zawiadomienie osób, których dane dotyczą, o naruszeniu.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Zawiadomienie osób: W sytuacji naruszenia ochrony danych skutkującym wysokim ryzykiem naruszenia praw lub wolności, należy niezwłocznie zawiadomić osoby, których dane dotyczą, o naruszeniu ochrony ich danych osobowych.
  2. Przegląd uprawnień: Zaleca się regularny przegląd uprawnień dostępu do systemów informatycznych, szczególnie dla pracowników, którzy zakończyli stosunek pracy.
  3. Szkolenia: Wprowadzenie cyklicznych szkoleń dla pracowników na temat ochrony danych osobowych i procedur związanych z dostępem do danych.
  4. Polityka bezpieczeństwa: Aktualizacja i wdrożenie skutecznych polityk bezpieczeństwa informacji, aby zapobiec podobnym incydentom w przyszłości.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO