UODO nałożył na Santander Bank Polska S. A. administracyjną karę w wysokości ponad 500 tysięcy złotych za naruszenie polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą o zdarzeniu. Naruszenie danych osobowych dotyczyło nieuprawnionego dostępu byłego pracownika banku do profilu płatnika na PUE ZUS. Pracownik ten po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy, mając między innymi dostęp do danych o stanie zdrowia czy o korzystaniu ze świadczeń opieki zdrowotnej. Banku uznał, że powyższy incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, i w związku z tym osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu, a bank w ramach działania umieścił na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych. UODO uznał, że w tej sytuacji konieczne było zawiadomienie o naruszeniu osób, których dane dotyczą, i nie jest istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. Oprócz nałożenia kary pieniężnej UODO nakazał również zawiadomienie osób o zaistniałym incydencie.