Ryzyko negatywnych konsekwencji naruszenia podstawą zawiadomienia UODO
UODO nałożył na Santander Bank Polska S. A. administracyjną karę w wysokości ponad 500 tysięcy złotych za naruszenie polegające na niezawiadomieniu bez zbędnej zwłoki osób, których dane dotyczą o zdarzeniu. Naruszenie danych osobowych dotyczyło nieuprawnionego dostępu byłego pracownika banku do profilu płatnika na PUE ZUS. Pracownik ten po zakończeniu pracy korzystał z przysługujących mu uprawień i pięciokrotnie logował się do platformy, mając między innymi dostęp do danych o stanie zdrowia czy o korzystaniu ze świadczeń opieki zdrowotnej. Banku uznał, że powyższy incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, i w związku z tym osoby, których dane dotyczą nie zostały zawiadomione o naruszeniu, a bank w ramach działania umieścił na platformie komunikacji wewnętrznej komunikat przypominający zasady przetwarzania danych osobowych. UODO uznał, że w tej sytuacji konieczne było zawiadomienie o naruszeniu osób, których dane dotyczą, i nie jest istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. Oprócz nałożenia kary pieniężnej UODO nakazał również zawiadomienie osób o zaistniałym incydencie.
Powiązane Aktualności
Od 8 lipca obowiązują nowe uprawnienia PIP
Od 8 lipca 2026 r. Państwowa Inspekcja Pracy dysponuje nowymi uprawnieniami, wynikającymi z ustawy z 11 marca 2026 r. o [...]
Świadek wypadku przy pracy a jego dane osobowe
Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Ministry Rodziny, Pracy i Polityki Społecznej z wnioskiem o podjęcie prac legislacyjnych [...]
Wyrok WSA – Inspektor pracy w sporze o wynagrodzenie
W wyroku z 6 maja 2026 r. (sygn. akt II SA/Ke 195/26) Wojewódzki Sąd Administracyjny w Kielcach potwierdził, że inspektorzy [...]
