Prezes Urzędu Ochrony Danych Osobowych opublikował treść decyzji nakładającej na Santander Bank Polska S.A. karę pieniężną 545 748 złotych.
Szczegóły tutaj
Przyczyną nałożenia kary administracyjnej była sytuacja, w której były pracownik Banku Santander mimo zakończenia pracy w tej instytucji, posiadał nadal nieuprawniony dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS).
W wyniku tego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawnień i pięciokrotnie logował się do platformy.
Bank pomimo ujawnienia naruszenia ochrony danych osobowych – nie poinformował osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych tj. wszystkich pracowników Banku, którzy byli zatrudnieni w okresie, w którym były pracownik Banku posiadał nieuprawniony dostęp do danych zgromadzonych na Platformie Usług , uznając, że nie wystąpiło wysokie ryzyko.
W PUE ZUS pracownik z działu płac/HR posiada wgląd w między innymi: zwolnienia lekarskie numery PESEL, dowody osobiste, adresy zamieszkania.
Jak uniknąć podobnej sytuacji? Należy sprawdzić kompletność i adekwatność dokumentacji RODO – w szczególności procedur nadawania i odwoływania uprawnień. Dopiero publikacja dokumentacji, przeszkolenie pracowników i realne zapewnienie stosowania odpowiednich polityk i procedur pozwoli na realizację obowiązków administratora, tak aby takie sytuacje jak nieuprawniony dostęp do danych w PUE ZUS miały miejsca.
autor: adwokat Jakub Schabowski
kontakt: schabowski@dt.com.pl
2022-02-25 12:44