fb

UODO: Pół miliona kary dla banku. Wszystko przez… uprawnienia byłego pracownika

Urząd Ochrony Danych Osobowych zdecydował o nałożeniu kary na jeden z banków w wysokości 545 tysięcy złotych. Wszystko zaczęło się od nieuprawnionego dostępu do profilu płatnika PUE ZUS, który posiadał były pracownik banku. 

UODO: Pół miliona kary dla banku. Wszystko przez… uprawnienia byłego pracownika
  • Martyna Kowalska
  • /
  • 22 lutego 2022

Kara za złamanie RODO

Urząd Ochrony Danych Osobowych stwierdził, że bank naruszył przepisy RODO. Nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu, w wyniku którego ich dane osobowe mogły trafić do nieuprawnionej osoby.

Trzeba jednak przyznać, że bank, nie zamiatał tej sprawy pod dywan. Przynajmniej na początku. Sam administrator zgłosił do Urzędu Ochrony Danych Osobowych, że doszło do naruszenia przepisów. Chodziło o to, że były pracownik banku, mimo rozwiązania umowy w dalszym ciągu posiadał nieuprawniony dostęp do profilu płatnika na PUE ZUS (Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych). Jak zauważa UODO „w wyniku tego mógł on przeglądać znajdujące się na profilu płatnika (...) dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy”.

Jak złożyć skargę do UODO?Jak złożyć skargę do UODO?Martyna Kowalska

Zalecenia UODO i brak reakcji

Urząd Ochrony Danych Osobowych uznał, że w tym konkretnym przypadku doszło do naruszenia poufności danych. W dodatku uznał, że wiąże się ono z wysokim ryzykiem naruszenia praw lub wolności osób, których one dotyczą. Organ nadzorczy uznał, że w takiej sytuacji bank musi poinformować osoby, których dane dotyczą, o incydencie. 

Bank był najwyraźniej innego zdania. Jak podaje UODO - w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu”.

Jedyne co zrobił bank, to umieścił w wewnętrznym komunikatorze informację, która przypominała zasady przetwarzania i ochrony danych osobowych. 

UODO o incydentach

Urząd Ochrony Danych Osobowych doszedł do wniosku, że to zdecydowanie za mało. Według organu nadzorczego zawiadomione o naruszeniu powinny zostać wszystkie ten osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty. Dotyczy to zatem również tych osób, które w banku już nie pracują. 

Pełną interpretacje zaistniałej sytuacji można przeczytać w ostatnim komunikacie Urzędu Ochrony Danych Osobowych pod tym linkiem

W tej konkretnej sprawie Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł.  Ponadto, nakazał spełnienie obowiązku wynikającego z RODO, czyli zawiadomienie osób o zaistniałym incydencie.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej masz szybkie linki do udostępnień.

Security Magazine

Czy ten artykuł był przydatny?

Firmy mają więcej czasu na rozliczenie CIT
podatki

Firmy mają więcej czasu na rozliczenie CIT

Resort finansów przypomina, ze termin na rozliczenie rocznego podatku CIT za 2021 rok został przedłużony. Aktualnie, ten obowiązek upływa dopiero 30 czerwca 2022 roku – czytamy w komunikacie MF....

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!