Jasne, oto przeformułowany tekst z perspektywy ekonomicznego komentatora, uwzględniający Twoje wytyczne: ## Błędy w zarządzaniu danymi to kosztowna lekcja dla banków. Santander BP zapłaci blisko 550 tys. zł kary Najwyższy Sąd Administracyjny podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych (UODO) o nałożeniu na Santander Bank Polska kary finansowej w wysokości blisko 550 tysięcy złotych. Decyzja ta dotyczy naruszenia przepisów RODO, a konkretnie zaniechania należytego powiadomienia pracowników o incydencie związanym z naruszeniem ochrony ich danych osobowych. Bank, choć kwestionuje wyrok, zobowiązał się do jego wykonania. ### Wyniki Biznes Fakty: Decyzja sądu podkreśla fundamentalną zasadę odpowiedzialności w erze cyfrowej. Dla instytucji finansowych, gdzie bezpieczeństwo danych jest absolutnym priorytetem, tego typu zaniedbania mogą mieć daleko idące konsekwencje nie tylko prawne, ale i wizerunkowe. Fakt, że Naczelny Sąd Administracyjny nie zgodził się z argumentacją banku, iż dostęp do danych przez „zaufaną osobę” nie rodzi wysokiego ryzyka, jest kluczowy. Sąd prawidłowo zauważył, że samo ryzyko naruszenia praw i wolności jednostek jest wystarczające do uruchomienia obowiązku informacyjnego. Dane, do których nieuprawniony dostęp uzyskał były pracownik, obejmowały nie tylko dane identyfikacyjne, ale także informacje o stanie zdrowia, co jest daną wrażliwą, mogącą być wykorzystaną do celów przestępczych, takich jak wyłudzenie kredytu. Historia ta stanowi ostrzeżenie dla całego sektora bankowego. Proces tzw. „offboardingu”, czyli wygaszania dostępu do systemów byłym pracownikom, musi być realizowany z najwyższą starannością. Zaniechania w tym zakresie, nawet jeśli intencje były dobre lub jeśli dane nie zostały faktycznie wykorzystane, generują ryzyko prawne i finansowe. Ponad pół miliona złotych kary to niebagatelna kwota, która dodatkowo obciąża koszty operacyjne banku. Co więcej, lekceważenie obowiązku informacyjnego, jakim było powiadomienie poszkodowanych osób, pokazuje pewien brak zrozumienia dla istoty ochrony danych osobowych w kontekście budowania zaufania klientów i pracowników. Komunikacja „zbyt ogólna”, która nie informuje o faktycznym incydencie, nie spełnia swojego celu, jakim jest umożliwienie podjęcia działań zaradczych przez osoby, których dane dotyczą. Przyszłość rynku finansowego z pewnością będzie oparta na wzroście transparentności i odpowiedzialności za powierzone dane.
Incydent, który sam Santander Bank Polska zgłosił do UODO, dotyczył sytuacji, gdy byłemu pracownikowi banku nie odebrano dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). W rezultacie, nawet po zakończeniu zatrudnienia, osoba ta nadal posiadała dostęp do danych osobowych innych pracowników za pośrednictwem profilu płatnika firmy. Co więcej, okazało się, że logowała się ona do platformy aż pięciokrotnie w ciągu 8 miesięcy po wygaśnięciu umowy o pracę.
Po przeprowadzeniu analizy zgłoszenia, Prezes UODO uznał, że doszło do naruszenia poufności danych, co stanowiło wysokie ryzyko dla praw i wolności osób, których dane dotyczyły. Z tego powodu nałożono na bank obowiązek powiadomienia poszkodowanych pracowników. Santander BP jednak, po własnej analizie, uznał, że naruszenia przepisów RODO nie było, a zgłoszenie miało charakter „zapobiegawczy”. Bank stwierdził również, że nie ma potrzeby informowania pracowników o incydencie, ponieważ nie wiązał się on z wysokim ryzykiem dla ich praw czy wolności.
Najwyższy Sąd Administracyjny 6 marca oddalił skargę kasacyjną banku. Sąd podkreślił, że w sytuacji gdy istnieje ryzyko naruszenia praw lub wolności jednostek, nie ma znaczenia, czy dane faktycznie trafiły w niepowołane ręce. Wnioskiem z tego jest wysokie ryzyko naruszenia praw lub wolności podmiotów danych, szczególnie biorąc pod uwagę, że PUE ZUS zawiera dane takie jak imiona i nazwiska, numery PESEL, adresy zamieszkania oraz informacje o zwolnieniach lekarskich, które są danymi o szczególnym charakterze.
UODO wskazał również, że wewnętrzny komunikat banku dotyczący zasad przetwarzania danych osobowych był zbyt ogólny. Nie informował on o faktycznym wystąpieniu incydentu, co uniemożliwiło pracownikom podjęcie działań mających na celu zabezpieczenie ich danych. Ponadto, informacja ta mogła dotrzeć jedynie do obecnych pracowników, pomijając byłych, których dane również mogły być narażone. UODO podkreślił, że dane z PUE ZUS można wykorzystać do kradzieży tożsamości lub zaciągnięcia pożyczki na cudzy rachunek.
Magdalena Zielińska, Dyrektor Biura Inspektora Ochrony Danych w Santander Bank Polska, zaznaczyła, że sprawa dotyczy zdarzenia z lutego 2021 roku. Przyznała, że NSA nie podzielił stanowiska banku w kwestii zakresu powiadomienia i oceny ryzyka. Bank w lipcu 2022 roku skierował dodatkowe powiadomienia do wszystkich pracowników i wprowadził środki naprawcze zapobiegające podobnym sytuacjom w przyszłości. „Nie zgadzamy się z treścią wydanego orzeczenia, jednak w pełni się do niego zastosujemy” – poinformowała.
Oryginał artykułu : www.bankier.pl