Skontaktuj się
Kary RODO - analiza przypadków i konsekwencje naruszeń

Case Study: Kara RODO dla Santander Bank Polska S.A.

W styczniu 2022 roku Prezes Urzędu Ochrony Danych Osobowych (UODO) wydał decyzję nakładającą karę na Santander Bank Polska S.A. za naruszenie przepisów RODO. Sprawa ta stanowi ważną lekcję dla wszystkich administratorów danych osobowych, szczególnie w sektorze finansowym.
Łukasz Wata
Łukasz Wata 16 sie 2024

Kara RODO nałożona na Santander Bank Polska S.A wywołał szeroką dyskusję na temat bezpieczeństwa danych osobowych w sektorze bankowym. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył na bank znaczącą karę finansową, co podkreśla wagę problemu. Przyjrzyjmy się bliżej temu przypadkowi i jego implikacjom.

Szczegóły naruszenie RODO przez Santander Bank Polska S.A.

Przede wszystkim, warto zaznaczyć, że naruszenie dotyczyło danych osobowych około 10 500 pracowników banku. Co więcej, incydent trwał przez dłuższy czas – od czerwca 2020 do lutego 2021 roku. W tym okresie były pracownik banku pięciokrotnie logował się do Platformy Usług Elektronicznych ZUS (PUE ZUS), mając nieuprawniony dostęp do wrażliwych informacji.

Zakres ujawnionych danych był szeroki i obejmował:

  • Imiona i nazwiska
  • Adresy zamieszkania lub pobytu
  • Numery PESEL
  • Informacje o zwolnieniach lekarskich (dane dotyczące zdrowia)

Warto podkreślić, że ostatnia kategoria danych jest szczególnie wrażliwa i podlega dodatkowej ochronie zgodnie z przepisami RODO.

Kara RODO – Konsekwencje dla banku

W związku z tym poważnym naruszeniem, w wyniku kontroli UODO, Prezes Urzędu Ochrony Danych podjął zdecydowane kroki. Nałożył na Santander Bank Polska S.A. karę w wysokości 545 748 PLN. Jednak finansowe konsekwencje to nie wszystko. Ponadto bank został zobowiązany do poinformowania wszystkich pracowników, których dane były narażone, o zaistniałym naruszeniu.

Analiza błędów i zaniedbań

Analizując ten przypadek, można wyodrębnić kilka kluczowych obszarów, w których bank popełnił błędy:

  1. Brak odpowiednich procedur
    Przede wszystkim, bank nie posiadał skutecznego systemu odbierania uprawnień byłym pracownikom. Co więcej, nie przeprowadzano regularnych przeglądów uprawnień dostępu. Te zaniedbania umożliwiły byłemu pracownikowi utrzymanie dostępu do wrażliwych danych długo po zakończeniu stosunku pracy.
  2. Niewłaściwa ocena ryzyka
    Kolejnym poważnym błędem była błędna ocena ryzyka naruszenia. Bank uznał je za niskie, ignorując potencjalne konsekwencje dla pracowników. Co więcej, nie wzięto pod uwagę faktu, że ujawnione dane obejmowały szczególne kategorie, takie jak informacje o zdrowiu.
  3. Brak zawiadomienia osób, których dane dotyczą
    Chociaż bank był świadomy naruszenia, nie poinformował pracowników o incydencie. Ta decyzja była głównym powodem nałożenia kary RODO przez UODO. Warto podkreślić, że transparentność w takich sytuacjach jest kluczowa dla budowania zaufania i minimalizacji potencjalnych szkód.

Wnioski i rekomendacje

W świetle tych zaniedbań, można sformułować kilka kluczowych rekomendacji dla Santander Bank Polska S.A. i innych instytucji finansowych:

  1. Wdrożenie skutecznych procedur odbierania uprawnień
    Przede wszystkim, należy zautomatyzować proces odbierania dostępu przy zakończeniu stosunku pracy. Ponadto konieczne jest przeprowadzanie regularnych audytów uprawnień dostępu do systemów zawierających dane osobowe.
  2. Właściwa ocena ryzyka
    Bank powinien traktować każde naruszenie poufności danych jako potencjalnie wysokie ryzyko. Co więcej, szczególną ostrożność należy zachować przy ocenie naruszeń dotyczących danych wrażliwych.
  3. Szybkie i przejrzyste informowanie o naruszeniach
    Konieczne jest opracowanie procedur szybkiego informowania osób, których dane dotyczą. Ponadto warto przygotować szablony komunikatów o naruszeniu zgodne z art. 34 RODO.
  4. Szkolenia i budowanie kultury ochrony danych
    Bank powinien organizować regularne szkolenia pracowników z zakresu ochrony danych osobowych. Co więcej, należy promować kulturę organizacyjną, w której bezpieczeństwo danych jest priorytetem. Dbanie o edukację pracowników jest jednym z najważniejszych obowiązków Inspektora Ochrony Danych i może zabezpieczyć firmę przed incydentem prowadzącym do nałożenia kary rodo. Więcej o obowiązkach Inspektora Ochrony Danych możesz przeczytać tutaj.
  5. Współpraca z organem nadzorczym
    W przypadku wątpliwości co do kwalifikacji naruszenia, bank powinien konsultować się z UODO. Ponadto konieczna jest otwarta i pełna współpraca w przypadku postępowań wyjaśniających.

Podsumowanie

Przypadek Santander Bank Polska S.A. jest przestrogą dla wszystkich instytucji przetwarzających dane osobowe. Pokazuje, jak istotne jest nie tylko zapobieganie naruszeniom ochrony danych, ale także właściwe reagowanie na nie. Prawidłowa ocena ryzyka i szybkie informowanie osób, których dane dotyczą, są kluczowe dla minimalizacji potencjalnych szkód i uniknięcia wysokich kar finansowych.

Warto podkreślić, że kara nałożona na Santander Bank Polska S.A. jest jedną z najwyższych kar za naruszenie RODO w polskim sektorze bankowym. Stanowi to jasny sygnał, że organy nadzorcze traktują ochronę danych osobowych z najwyższą powagą.

Podsumowując, przypadek ten powinien skłonić wszystkie instytucje finansowe do rewizji swoich procedur związanych z ochroną danych osobowych. Tylko kompleksowe podejście do bezpieczeństwa informacji może zapewnić skuteczną ochronę przed podobnymi incydentami w przyszłości.

Potrzebujesz pomocy z ochroną danych osobowych? Nasi specjaliści są do Twojej dyspozycji. Skontaktuj się z nami!