Organ uznał, że Bank niewłaściwie przeprowadził analizę ryzyka przedmiotowego naruszenia, jak również nie powiadomił osób, których dotyczyło naruszenie w sposób zgodny z art. 34 RODO dlatego też uznał za zasadne nałożenie na Bank kary w wysokości ponad 545 tys. złotych. Dodatkowo nakazał powiadomienie osób, których dane dotyczą o naruszeniu.
Skąd wiemy o naruszeniu
Bank pozyskał informację o naruszenia od byłej pracownicy, która poinformowała, że po zakończeniu pracy dla Santander Bank S.A. nie zostały jej odebrane uprawnienia dostępu do profilu pracodawcy na Platformie Usług Elektronicznych ZUS (PUE ZUS). Jak ustalono w trakcie postępowania, pracownica logowała się do systemu kilkukrotnie w ciągu 8 miesięcy od zwolnienia do momentu poinformowania swojego byłego pracodawcy o tym, że taki dostęp jest wciąż możliwy. Była pracownica miała dostęp do danych osobowych w zakresie identycznym jak podczas swojej pracy dla Santander Bank S.A.
Było czy nie było naruszenia?
W wyniku przeprowadzonej analizy ryzyka Bank zgłosił naruszenie do Prezesa UODO w wyniku którego to zgłoszenia urząd wszczął odpowiednie postępowanie wyjaśniające. Jednocześnie Bank nie powiadomił podmiotów danych o naruszeniu. W toku postępowania Prezes UODO uznał, że doszło do naruszenia poufności danych i w związku z zakresem danych, których dotyczyło naruszenie poufności wymaga zrealizowania wobec osób, których dotknęło naruszenie (ok. 10 500 osób) powiadomienia o naruszeniu zgodnie z art. 34 RODO.
Na dalszym etapie postępowania Bank wyjaśnił,
„że bazując na informacjach przekazanych mu przez Zakład Ubezpieczeń Społecznych będący operatorem platformy PUE ZUS, nie zidentyfikowano nielegalnego przetwarzania danych. Bank wskazał dodatkowo, że jeśli jednak hipotetycznie doszło do naruszenia ochrony danych osobowych, to tylko w zakresie, w jakim były pracownik miał dostęp do danych w okresie zatrudnienia. W ocenie Banku nie doszło zatem do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679.(podkreślenie gdpr.pl)”
Jednakże, Bank postanowił umieścić „w Intranecie Santander Bank Polska, a więc na platformie komunikacji wewnętrznej Banku, komunikat przypominający zasady przetwarzania danych osobowych, tego na czym może polegać naruszenie ochrony danych osobowych związane z dostępem osoby nieupoważnionej do danych osobowych pracowników, informacji o możliwych konsekwencjach naruszenia ochrony danych osobowych pracowników, opisu środków jakie Bank jako administrator stosuje w celu zaradzenia naruszeniom ochrony danych osobowych oraz informacji odnośnie imienia i nazwiska oraz możliwości skontaktowania się Inspektorem Ochrony Danych.”
Kiedy zawiadamiać o naruszeniu?
Organ nie przychylił się do argumentacji Banku i uznał, że naruszenie ochrony danych osobowych miało miejsce i polegało na „posiadaniu przez byłego pracownika Banku nieuprawnionego dostępu do Platformy Usług Elektronicznych ZUS, co skutkowało możliwością przeglądania znajdujących się na tejże platformie danych pracowników Banku w zakresie ich imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia”, które powodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W konsekwencji Bank był zobowiązany do zawiadomienia osób, których dane dotyczą o naruszeniu danych osobowych.
Jednocześnie urząd uznał, że zamieszczony w Intranecie Banku komunikat nie spełniał wymagań z art. 34 RODO. Po pierwsze zdaniem organu, zamieszczona informacja była ogólna i nie wskazywała wprost, że do naruszenia doszło, ani jaki charakter miało naruszenie
„a zatem osoby, których dane dotyczą, nie miały żadnych powodów, by potraktować go jako odnoszący się do nich i odpowiednio zareagować.”
Ponadto, organ wskazał, że opublikowanie komunikatu w Intranecie nie pozwoliło na dotarcie do osób, które były pracownikami Banku w okresie gdy możliwy był niedozwolony dostęp do platformy PUE ZUS, ale nie były już pracownikami Banku w chwili opublikowania komunikatu w Intranecie. Urząd wskazał, że informacja z art. 34 RODO może być przekazana w sposób, który umożliwi zapoznanie się z nią, odpowiedni dla kategorii osób. Po raz kolejny, urząd podkreślił dla określenia ryzyka związanego z naruszeniem nie jest ważne urzeczywistnienie się ryzyka, ale sam fakt wystąpienia zagrożenia, że ryzyko się urzeczywistni – co wydaje się kluczowe w niniejszej sprawie.
Zaufana osoba czyli kto?
W toku postępowaniu Bank również wskazywał, że nawet gdyby uznać, że naruszenie miało miejsce to osoba, która miała nieuprawniony dostęp do platformy PUE ZUS jest byłym pracownikiem Banku w związku z czym należy ją potraktować jako osobę zaufaną. Zdaniem organu aby mówić o osobie zaufanej
„administrator może przyjąć domniemanie, że zna ona obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się w odpowiedni sposób.”
Jednak jak wykazuje organ w swojej decyzji nie jest taką osobą były pracownik. Po pierwsze, przez sam fakt wykorzystania przez byłą pracownicę dostępu do systemu i dokonania nieuprawnionego zalogowaniem się do systemu należy mówić o braku zaufania. Co więcej urząd wskazuje, że
„osoba, która posiadała nieuprawniony dostęp do danych osobowych pracowników Banku, aktualnie nie jest związana z Administratorem stosunkiem pracy, nie łączą ich też jakiekolwiek inne relacje np. biznesowe.”
Wobec czego nie można stwierdzić, że pomiędzy byłym pracownikiem, a byłym pracodawcą istnieje jakiekolwiek zobowiązanie np. zasady szczególnej lojalności pracownika względem pracodawcy. Dlatego też, urząd nie uznał argumentacji Banku, który powoływał się na fakt zaufanego odbiorcy, co miało wpłynąć na obniżenia ryzyka badanego naruszenia danych.
Pracodawca ukarany za korzystanie z konta e-mail byłego pracownika
Podsumowanie
W swojej decyzji po raz kolejny Urząd Ochrony Danych Osobowych wykazał, że analiza naruszenia powinna być przeprowadzona ze szczególna starannością. Co więcej, podczas wykonywania oceny naruszenia należy pamiętać, że brak urzeczywistnienia ryzyka nie wpływa na zmniejszenie ryzyka samego naruszenia. Ponadto, w przypadku gdy administrator dokonuje oceny naruszenia i chciałby powołać się na zaufanego odbiorcę to ważne jest dokładne zbadanie czy faktycznie istnieje podstawa do stwierdzenia, że nieuprawniony odbiorca jest faktycznie odbiorcą zaufanym. Decyzja porusza dużo więcej ciekawych wątków, które już są określone jako kontrowersyjne np. wysokość kary, podejście do ryzyka, sposób komunikacji z urzędem a wymiar kary, porównanie wysokości kary do innych sytuacji znanych urzędowi, w których urząd nie podjął działań i nie nałożył kary. Tak czy inaczej walor edukacyjny decyzji, szczególnie w kontekście podejścia do analizy ryzyka, która w Polsce nadal jest mocno uznaniowa i powierzchowna, jest bardzo duży. Będziemy oczywiście przyglądać się sprawie.
Pełna treść decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021