UODO: Pół miliona kary dla banku. Wszystko przez… uprawnienia byłego pracownika
Urząd Ochrony Danych Osobowych zdecydował o nałożeniu kary na jeden z banków w wysokości 545 tysięcy złotych. Wszystko zaczęło się od nieuprawnionego dostępu do profilu płatnika PUE ZUS, który posiadał były pracownik banku.
- Martyna Kowalska
- /
- 22 lutego 2022
Kara za złamanie RODO
Urząd Ochrony Danych Osobowych stwierdził, że bank naruszył przepisy RODO. Nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o zdarzeniu, w wyniku którego ich dane osobowe mogły trafić do nieuprawnionej osoby.
Trzeba jednak przyznać, że bank, nie zamiatał tej sprawy pod dywan. Przynajmniej na początku. Sam administrator zgłosił do Urzędu Ochrony Danych Osobowych, że doszło do naruszenia przepisów. Chodziło o to, że były pracownik banku, mimo rozwiązania umowy w dalszym ciągu posiadał nieuprawniony dostęp do profilu płatnika na PUE ZUS (Platforma Usług Elektronicznych Zakładu Ubezpieczeń Społecznych). Jak zauważa UODO „w wyniku tego mógł on przeglądać znajdujące się na profilu płatnika (...) dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy”.
Jak złożyć skargę do UODO?Martyna Kowalska
Zalecenia UODO i brak reakcji
Urząd Ochrony Danych Osobowych uznał, że w tym konkretnym przypadku doszło do naruszenia poufności danych. W dodatku uznał, że wiąże się ono z wysokim ryzykiem naruszenia praw lub wolności osób, których one dotyczą. Organ nadzorczy uznał, że w takiej sytuacji bank musi poinformować osoby, których dane dotyczą, o incydencie.
Bank był najwyraźniej innego zdania. Jak podaje UODO - „w ocenie Banku nie zidentyfikowano nielegalnego przetwarzania danych i uznano, że nie doszło do naruszenia ochrony danych osobowych w rozumieniu RODO. Jak wyjaśnił administrator pierwotnie zgłoszenia naruszenia ochrony danych osobowych dokonał jedynie ze względów ostrożności. Po analizie sprawy uznał on, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu”.
Jedyne co zrobił bank, to umieścił w wewnętrznym komunikatorze informację, która przypominała zasady przetwarzania i ochrony danych osobowych.
UODO o incydentach
Urząd Ochrony Danych Osobowych doszedł do wniosku, że to zdecydowanie za mało. Według organu nadzorczego zawiadomione o naruszeniu powinny zostać wszystkie ten osoby, które były zatrudnione w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty. Dotyczy to zatem również tych osób, które w banku już nie pracują.
Pełną interpretacje zaistniałej sytuacji można przeczytać w ostatnim komunikacie Urzędu Ochrony Danych Osobowych pod tym linkiem.
W tej konkretnej sprawie Prezes UODO podjął decyzję nie tylko o nałożeniu administracyjnej kary pieniężnej w wysokości ponad 545 tys. zł. Ponadto, nakazał spełnienie obowiązku wynikającego z RODO, czyli zawiadomienie osób o zaistniałym incydencie.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z
informacjami prawnymi, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci
się
artykuł podziel się z innymi udostępniając go w mediach społecznościowych - poniżej
masz
szybkie linki do udostępnień.