DKN.5131.33.2021

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735 ze zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781),  a także art. 57 ust. 1 lit. a) i h), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a)  w związku z art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego wszczętego  z urzędu w sprawie braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, przez Santander Bank Polska S.A. z siedzibą w Warszawie przy al. Jana Pawła II 17, Prezes Urzędu Ochrony Danych Osobowych,

1. stwierdzając naruszenie przez Santander Bank Polska S.A. z siedzibą w Warszawie przepisów art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, nakłada na Santander Bank Polska S.A. z siedzibą w Warszawie administracyjną karę pieniężną w wysokości 545.748 PLN (słownie: pięćset czterdzieści pięć tysięcy siedemset czterdzieści osiem złotych),
2. nakazuje Santander Bank Polska S.A. z siedzibą w Warszawie zawiadomienie - w terminie 3 dni od dnia doręczenia niniejszej decyzji - osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych tj. wszystkich pracowników Banku, którzy byli zatrudnieni w okresie,  w którym były pracownik Banku posiadał nieuprawniony dostęp do danych zgromadzonych na Platformie Usług Elektronicznych ZUS (PUE ZUS), w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
1. opisu charakteru naruszenia ochrony danych osobowych;
2. imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
3. opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
4. opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Uzasadnienie

Do Prezesa Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,Prezesem UODO” dnia […] lutego 2021 r. wpłynęło zgłoszenie naruszenia ochrony danych dokonane przez Santander Bank Polska S.A. z siedzibą w Warszawie przy al. Jana Pawła II 17 (zwany dalej „Bankiem”, „Administratorem”), zarejestrowane pod sygnaturą [...], informujące o naruszeniu ochrony danych osobowych 10 500 osób. Naruszenie polegało na posiadaniu przez byłego pracownika Banku, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS), nieuprawnionego dostępu do tejże platformy, w wyniku czego mógł on przeglądać znajdujące się na profilu płatnika Santander Bank Polska S.A. dane pracowników Banku w zakresie ich imion i nazwisk, nr PESEL, adresu zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.

Prezes UODO pismem z dnia […] lutego 2021 r. zwrócił się do Santander Bank Polska S.A.  o informację, czy po zakończeniu stosunku pracy były pracownik Banku korzystał ze swoich uprawnień i logował się do platformy PUE ZUS (w związku z wystąpieniem do ZUS o udostępnienie wszystkich logów, które były wykonywane na PUE ZUS przez osobę nieuprawnioną). W wyniku powyższego ustalono, że osoba ta pięciokrotnie logowała się do platformy PUE ZUS we wspomnianym czasie  (w następujących terminach: 2020-06-[…], godz. 21:09:54; 2020-06-[…], godz. 21:00:42; 2020-06-[…], godz. 21:02:37; 2020-10-[…], godz. 22:01:27; 2021-02-[…], godz. 20:50:14), zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku. Jednocześnie nie wskazano obszarów, które były przeglądane przez nieuprawnioną osobę, ani do jakich konkretnie danych i dotyczących ilu pracowników osoba ta uzyskała dostęp w trakcie logowań na profil płatnika Santander Bank Polska S.A. na platformie PUE ZUS. Jednocześnie Administrator poinformował, że zrezygnował z powiadamiania  o naruszeniu osób, których dane dotyczą, argumentując to faktem, iż cyt.: „w trakcie zatrudnienia  pracownik miał dostęp do znacznie szerszego katalogu danych pracowniczych co związane było  z pełnieniem funkcji […] (dostęp do pełnej bazy danych wszystkich pracowników SBP potrzebny do realizacji procesów kadrowo – płacowych)”.

W związku z brakiem zawiadomienia osób, których dane dotyczą, o naruszeniu ich danych osobowych, w wystąpieniu z dnia […] marca 2021 r. Prezes UODO wskazał, iż analiza przedmiotowego naruszenia uwzględniająca charakter naruszenia, czas jego trwania, kategorie danych, liczbę osób, których naruszenie dotyczyło, a także zastosowane środki naprawcze, doprowadziła do stwierdzenia,  iż doszło do naruszenia poufności danych. Z uwagi na to, że niniejsze naruszenie poufności dotyczy numerów PESELwraz z imionami i nazwiskami, adresami zamieszkania lub pobytu oraz informacjami o zwolnieniach lekarskich, tj. danymi dotyczącymi zdrowia, to należy uznać, że wiąże się ono z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, z tego też względu konieczne jest zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, zgodnie  z obowiązkiem wyrażonym w art. 34 w związku z art. 12 rozporządzenia 2016/679. Jednocześnie Prezes UODO zwrócił się o wskazanie konkretnych obszarów platformy PUE ZUS, które były przeglądane przez byłego pracownika; wskazanie do danych ilu osób – pracowników Banku,  w trakcie wyszczególnionych 5 logowań osoba nieuprawniona – były pracownik, miała wgląd.

W odpowiedzi z dnia […] marca 2021 r. Bank wskazał, że bazując na informacjach przekazanych mu przez Zakład Ubezpieczeń Społecznych będący operatorem platformy PUE ZUS, nie zidentyfikowano nielegalnego przetwarzania danych. Bank wskazał dodatkowo, że jeśli jednak hipotetycznie doszło do naruszenia ochrony danych osobowych, to tylko w zakresie, w jakim były pracownik miał dostęp do danych w okresie zatrudnienia. W ocenie Banku nie doszło zatem do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679. Niezależnie od powyższego, Bank zaproponował umieszczenie w Intranecie Santander Bank Polska, a więc na platformie komunikacji wewnętrznej Banku, komunikatu przypominającego zasady przetwarzania danych osobowych, tego na czym może polegać naruszenie ochrony danych osobowych związane  z dostępem osoby nieupoważnionej do danych osobowych pracowników, informacji o możliwych konsekwencjach naruszenia ochrony danych osobowych pracowników, opisu środków jakie Bank jako administrator stosuje w celu zaradzenia naruszeniom ochrony danych osobowych oraz informacji odnośnie imienia i nazwiska oraz możliwości skontaktowania się Inspektorem Ochrony Danych.

Pismem przesłanym w dniu […] marca 2021 r. Bank potwierdził wykonanie zadeklarowanych działań tj. opublikowania w Intranecie ww. informacji, załączając jednocześnie treść tego komunikatu.  Z jego treści nie można jednak wyczytać, iż w rzeczywistości doszło do naruszenia ochrony danych pracowników Banku, o charakterze, który jedynie jako przykładowy i możliwy do zaistnienia, przedstawiony został w wewnętrznym komunikacie. 

Nie ma wątpliwości, że charakter tego komunikatu jest na tyle ogólny, przede wszystkim nie odnoszący się do konkretnego przypadku, a jedynie w sposób obrazowy prezentujący pewien rodzaj naruszenia, które mogłoby zaistnieć, bez wskazania, że taka sytuacja de facto miała miejsce,  że potencjalny odbiorca nie identyfikując się z sytuacją, opisaną w przedmiotowym komunikacie –  co bardzo prawdopodobne - nie wyciągnie z niej żadnych wniosków.

W ocenie Banku nie doszło zatem do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679. Po dokonaniu analizy ww. argumentów wskazanych przez Bank, zaszła konieczność złożenia dodatkowych wyjaśnień, do których Prezes UODO wezwał Administratora pismem z dnia […] czerwca 2021 r. Treść pytań zadanych przez Prezesa UODO wraz z wyjaśnieniami Banku poniżej:

1. W odpowiedzi na pytanie, w jaki sposób monitorowany jest zakres uprawnień do dostępu do systemów informatycznych, w szczególności tych pracowników, którzy zakończyli stosunek pracy z administratorem, Administrator powołał się na obowiązującą w Banku politykę […]. Zgodnie z niniejszym dokumentem, odejście pracownika […].

2. W pkt 9C zgłoszenia naruszenia, Administrator wskazał na konieczność cyklicznego przeglądu dostępów do platformy PUE ZUS w celu wyeliminowania podobnych sytuacji w przyszłości,  w związku z czym Prezes UODO zwrócił się o wyjaśnienie, jak kwestia ta uregulowana była przed wystąpieniem przedmiotowego naruszenia, czy wskazane w ww. punkcie działania  to wszystkie, jakie w tym zakresie podejmował Administrator. Bank wskazał, że jego pracownicy posiadają dostęp do platformy PUE ZUS w oparciu o upoważnienie dla danego pracownika, wystawione na podstawie wzoru ZUS. Bank kieruje do ZUS pismo odwołujące upoważnienie  w przypadku rozwiązania umowy o pracę z upoważnionym pracownikiem. Dodatkowo, jak wskazuje Bank, w ramach Departamentu Kadr prowadzona jest lista osób upoważnionych oraz  lista osób formalnie zgłoszonych - cyklicznie raz na kwartał uzyskiwana z ZUS, w celu kontroli  poprawności prowadzonej w ramach Departamentu listy. Ponadto prowadzona jest weryfikacja zasadności przedmiotowych upoważnień po uzyskaniu z ZUS listy osób upoważnionych.  W złożonych wyjaśnieniach Bank dodał również, iż „Przed wystąpieniem przedmiotowego zgłoszenia opierano się na liście osób zgłoszonych prowadzonej w ramach Dep. Kadr bez dokonywania ww. działań  kontrolnych”.
3. Prezes UODO w dalszej części wezwania do złożenia wyjaśnień zapytał, czy zgłoszenia  przedmiotowego naruszenia dokonał pracownik, którego dotyczy przedmiotowy incydent, czy którykolwiek z pozostałych pracowników, wymienionych w korespondencji z ZUS oraz czy jeśli ww. zgłoszenia dokonał konkretnie ten pracownik, którego dotyczy przedmiotowy incydent,  to czy Administrator przedsięwziął kroki w celu ustalenia z tą osobą szczegółów jej logowania się do systemu, do jakich kategorii danych oraz do danych ilu osób – pracowników Banku, uzyskała ona nieuprawniony dostęp. W odpowiedzi Bank potwierdził, iż informację o naruszeniu powziął od osoby, której dotyczył przedmiotowy incydent (A.), jednak  nie podejmował  prób kontaktu z osobą nieuprawnioną ze względu na fakt, iż nie jest ona już pracownikiem Banku  i kontakt taki mógłby być negatywnie postrzegany przez byłego pracownika.
4. Ostatnie z pytań odnosiło się do treści pisma z dnia […] marca 2021 r., w którym  Administrator wskazał, iż „w ocenie banku nie doszło do naruszenia ochrony danych osobowych”, podczas gdy  z wcześniejszych wyjaśnień jasno wynikało, w jakim okresie dochodziło do nieuprawnionego logowania się do platformy PUE ZUS byłego pracownika Banku. Prezes UODO zwrócił się wiec  o wyjaśnienie powodów tak postawionego wniosku o braku naruszenia, czym kierował się Administrator w jego określeniu oraz poprosił o przesłanie stosownej analizy ryzyka dla tego naruszenia, w tym wskazanie, jakie okoliczności zostały wzięte pod uwagę przez Administratora w trakcie dokonywania oceny. Bank wskazał, iż zgłoszenia naruszenia ochrony danych osobowych dokonano jedynie ze względów ostrożności, biorąc pod uwagę brak pełnej oceny zdarzenia, w szczególności braku pełnego ustalenia obszarów (czego dotyczyły i ilu pracowników), do których dostęp posiadał nieuprawniony, były pracownik Banku.  Ze względu jednak na fakt, iż wśród danych dostępnych w systemie znajduje się m.in. nr PESEL oraz imię i nazwisko, przyjęto wysokie ryzyko – 3 w skali 3 - stopniowej, opierając się na wytycznych Prezesa UODO. Jednak po otrzymaniu […] lutego 2021 r. odpowiedzi  z Zakładu Ubezpieczeń Społecznych, w której odmówił on ujawnienia zakresu danych, do których faktycznie miał dostęp były pracownik, Bank obniżył skalę ryzyka do 1, stwierdzając, że „z uwagi na brak możliwości weryfikacji tego zakresu przez bank jako administratora ze źródła zewnętrznego jakim jest ZUS - nie można uznać, że z pewnością doszło do nieuprawnionego dostępu do danych w stosunku do b. pracownika banku”. Bank powołał się na stanowisko Inspektora Ochrony Danych ZUS wyrażonego wobec Banku w wiadomości elektronicznej z […] lutego 2021 r., tj. „w ocenie Inspektora Ochrony Danych z ZUS ze względów bezpieczeństwa brak jest podstaw do przekazywania bankowi logów i opisu ich interpretacji, ponieważ poznanie ich struktury przez osoby nieuprawnione, może potencjalnie doprowadzić do ujawnienia informacji ZUS prawnie chronionych, wydaje się, że najskuteczniejszym byłoby, aby to Prezes UODO zwrócił się do ZUS o uzyskanie koniecznych informacji o zdarzeniu, tak by jednoznacznie przesądzić  czy doszło wystąpienia naruszenia  i jego ryzykach dla podmiotów danych”.

Wobec dalszego braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu […] lipca 2021 r. Prezes UODO wszczął wobec Banku postępowanie administracyjne w tym przedmiocie. Ponadto, w piśmie tym Prezes UODO wezwał Administratora do wyjaśnienia, na jakiej podstawie Bank oparł swoje twierdzenie, iż zaistniałe naruszenie ochrony danych osobowych polegające na posiadaniu przez pracownika Banku, po ustaniu stosunku pracy, nieuprawnionego dostępu do danych pracowniczych przetwarzanych na Platformie Usług Elektronicznych ZUS (PUE ZUS) w zakresie: imion i nazwisk, adresów zamieszkania lub pobytu, nr PESEL, a ponadto informacji o zwolnieniach lekarskich, tj. danych dotyczących zdrowia, powoduje niskie ryzyko naruszenia praw lub wolności osób fizycznych, skutkujące brakiem konieczności zawiadomienia osób, których dotyczy naruszenie, wraz z prośbą o przedłożenie przeprowadzonej analizy ryzyka dla tego naruszenia.

W odpowiedzi na powyższe, pismem z dnia […] lipca 2021 r., Administrator wyjaśnił, iż uznał niskie ryzyko naruszenia ochrony praw i wolności osób fizycznych w oparciu o następujące argumenty:

1. Brak jest w ocenie Banku jednoznacznie potwierdzonych okoliczności, co do zakresu danych osobowych dostępnych do wglądu osobie nieuprawnionej. Bank wskazał na oświadczenie  byłego pracownika (A.), w treści której wskazuje on, iż miał „(...) nieuprawniony dostęp do danych osobowych pracowników Banku z platformy PUE ZUS (m.in. imię, nazwisko, adresy, pesele, informacje z zaświadczeń  e-ZLA)".
2. Bank dokonał wewnętrznej weryfikacji dostępu do platformy PUE ZUS, w wyniku której ustalono, że pracownik upoważniony do przetwarzania danych osobowych pracowników, posiadający analogiczny dostęp do platformy PUE ZUS jak były pracownik, którego dotyczy naruszenie, może mieć dostęp do danych osobowych pracowników w zakresie wskazanym przez byłego pracownika w wiadomości elektronicznej skierowanej do Banku w dniu […] lutego 2021 r., w której to zgłosił  swój nieuprawniony dostęp do danych osobowych. Bank wskazuje jednak na brak możliwości jednoznacznego określenia, do jakiej liczby pracowników, których dane były prezentowane w danym momencie na ekranie usługi, miał  dostęp były pracownik.
3. Po otrzymaniu zawiadomienia o nieuprawnionym dostępie do platformy PUE ZUS, Bank niezwłocznie skierował pytanie do Zakładu Ubezpieczeń Społecznych o liczbę logowań przez nieuprawnionego pracownika do platformy PUE ZUS oraz prośbę o wskazanie obszarów, który były przez niego przeglądane. ZUS przekazał informację o 5 logowaniach byłego pracownika, jednocześnie wskazując, iż w ocenie Inspektora Ochrony Danych ZUS ze względów bezpieczeństwa brak jest podstaw do przekazywania Bankowi logów i opisu ich interpretacji, ponieważ  poznanie ich struktury przez osoby nieuprawnione może potencjalnie doprowadzić do ujawnienia informacji ZUS prawnie chronionych.
4. Wobec powyższego Bank wniósł o zobowiązanie, na podstawie art. 78 w zw. z art. 77 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (zwanej dalej  „k.p.a.”), Zakładu Ubezpieczeń Społecznych do przedstawienia szczegółowych wyjaśnień  w zakresie dotyczącym dostępu przez byłego pracownika do informacji na profilu Banku  w PUE ZUS, w tym liczby podmiotów danych, kategorii danych osobowych podmiotów danych oraz wszelkich innych zapisów z Platformy Usług Elektronicznych ZUS, celem jednoznacznej identyfikacji, do jakich danych były pracownik miał dostęp.
5. Pracownik, który posiadał nieuprawniony dostęp do danych osobowych przetwarzanych na platformie PUE ZUS, był wieloletnim pracownikiem, a przed ustaniem zatrudnienia piastował stanowisko […], w związku z czym miał dostęp do danych osobowych pozostałych pracowników, przetwarzanych przez Bank w celach kadrowo-płacowych. Osoba ta posiadała upoważnienie do przetwarzania danych osobowych w imieniu Banku, złożyła stosowne oświadczenia potwierdzające zapoznanie się  z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności.
6. Bank powołał się na Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 (WP250rev.01), zwane dalej „Wytycznymi WP250”, tj. wytyczne przyjęte w dniu 3 października 2017 r. przez Grupę Roboczą Art. 29 i zatwierdzone następnie przez Europejską Radę Ochrony Danych (zwaną dalej „EROD”), w myśl których administrator w określonych sytuacjach może uznać nieuprawnionego odbiorcę danych za „zaufanego”.Bank uznał byłego pracownika, który miał dostęp do danych osobowych na platformie PUE ZUS, jako odbiorcę „zaufanego”, tzn. Bank zaufał odbiorcy, z uwagi na złożone przez niego w trakcie zatrudnienia w Banku oświadczenia, że ten nie podejmie żadnych dalszych działań w kwestii tych danych. Bank wskazał, iż dokonał ocenyryzyka w kontekście wymogu określonego w art. 33 rozporządzenia 2016/679 i uznał, że zachodzą  przesłanki do zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu „albowiem nie jest mało prawdopodobne,  by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych”. Natomiast w kontekście obowiązku wynikającego z art. 34 rozporządzenia 2016/679 Administrator uznał, że przedmiotowy incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, stąd też podmioty danych nie zostaną zawiadomione  o naruszeniu. Za okoliczność przemawiającą za prawidłowością dokonanej oceny ryzyka zdaniem Banku przemawia fakt, iż była pracownica Banku samodzielnie zgłosiła Administratorowi nieuprawniony dostęp do platformy PUE ZUS - „Nie można bowiem uznać, że były pracownik zgłaszając samodzielnie nieprawidłowość, mógłby wykorzystać  w sposób bezprawny dostęp do danych pracowników banku. Przeciwna konstatacja byłaby sprzeczna  z zasadami doświadczenia życiowego oraz zasadami logiki”. 

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:

1. jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2. zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c)  i d) rozporządzenia 2016/679, tj.:
1. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
2. opis możliwych konsekwencji naruszenia ochrony danych osobowych;
3. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator zobowiązany jest na podstawie art. 34 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu (czego w niniejszej sprawie nie uczyniono, naruszając tym samym ww. przepis rozporządzenia 2016/679). Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy  z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Zawiadomienie musi czynić zadość zasadzie przejrzystości, tzn. powinno jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych (np. przedstawiać okoliczności wystąpienia naruszenia wraz z opisem kategorii danych, które uległy naruszeniu) oraz zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679. Zgodnie z motywem 39 rozporządzenia 2016/679, „wszelkie informacje i komunikaty związane z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe, czyli formułowane jasno i prostym językiem co ma  zapewnić osobom, których dane dotyczą rzeczywiste uprawnienia, z których będą wiedziały jak skorzystać”.

Istotnym elementem informacji przekazywanej osobom, których dane dotyczą, jest opis charakteru naruszenia. Grupa Robocza Art. 29 w Wytycznych WP250 podkreśla, że „Najważniejsze, aby osoby, których dane dotyczą, zrozumiały charakter naruszenia i wiedziały, co muszą zrobić, aby się zabezpieczyć.” W związku z powyższym, opis taki powinien być na tyle szczegółowy i jasny, aby osoby, do których kierowane jest zawiadomienie, mogły zrozumieć, co się stało z ich danymi osobowymi, dlaczego oraz co to dla nich oznacza. Zbyt lakoniczna informacja nie spełnia tej funkcji, a tym samym nie pozwala osobom na właściwe zastosowanie się do wskazówek administratora.

Oprócz ww. opisu charakteru naruszenia, w zawiadomieniu skierowanym do osób, których dane dotyczą, administrator powinien ponadto jasnym i prostym językiem przekazać co najmniej następujące informacje:  

• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym w stosownych przypadkach - środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz  - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informacje, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi negatywnymi skutkami naruszenia.Podkreślić należy, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia  w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem.

Podkreślić należy, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na posiadaniu przez byłego pracownika Banku nieuprawnionego dostępu do Platformy Usług Elektronicznych ZUS,  co skutkowało możliwością przeglądania znajdujących się na tejże platformie danych pracowników Banku w zakresie ich imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 (tj. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., zastąpiona zgodnie z art. 68 rozporządzenia 2016/679 Europejską Radą Ochrony Danych Osobowych, która podczas pierwszego posiedzenia plenarnego EROD zatwierdziła m.in. niżej przywołane wytyczne) w Wytycznych WP250: „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nie ulega wątpliwości,  że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania lub pobytu, czy informacjami o zwolnieniach lekarskich, tj. danymi dotyczącymi zdrowia, mogą wystąpić w omawianym przypadku.

W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Banku obowiązku zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

Ustosunkowując się do wyjaśnień Banku w pierwszej kolejności wskazać należy,  że w przedmiotowej sprawie wątpliwości budzi kwestia zaufania do nieuprawnionego odbiorcy – byłego pracownika. Administrator argumentuje brak zawiadomienia o naruszeniu osób, których dane dotyczą, niskim ryzykiem dla praw lub wolności tych osób wynikającym z faktu, iż podmiot posiadający nieuprawniony dostęp do platformy PUE ZUS był wieloletnim pracownikiem Banku, przed ustaniem zatrudnienia piastował stanowisko […], w związku z czym miał dostęp do danych osobowych pozostałych pracowników, przetwarzanych przez Bank w celach kadrowo-płacowych, co też w ocenie Administratora prowadzi do uznania podmiotu  nieuprawnionego za odbiorcę zaufanego. W tym miejscu Bank powołał się na Wytyczne WP250, zgodnie z którymi w określonych sytuacjach administrator może uznać nieuprawnionego odbiorcę danych za „zaufanego” – „Odbiorca zaufany to odbiorca któremu administrator może ufać na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli do danych uzyskano wgląd, administrator nadal może mieć  zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań  w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować  przy ich odzyskaniu. W takich przypadkach administrator może uwzględnić  tę  kwestię  w ocenie ryzyka przeprowadzanej w następstwie naruszenia — fakt,  że odbiorca jest zaufany może spowodować, że skutki naruszenia nie będą  poważne, ale nie znaczy to, że naruszenie nie miało miejsca”. Status odbiorcy zaufanego posiadają podmioty, które działają  w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy podmiotami istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. W przypadku takiego odbiorcy administrator może przyjąć domniemanie, że zna on obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się  w odpowiedni sposób. W przedmiotowej sprawie, zdaniem Prezesa UODO, nie występował odbiorca zaufany, wobec czego Bank powinien był zachować się w sposób bardziej ostrożny  w przypadku ujawnienia danych osobie nieuprawnionej, a więc zawiadomić o naruszeniu ochrony danych osobowych osoby, których dane dotyczą, zakładając, że naruszenie może wywołać szersze skutki. Nie można bowiem ponad wszelką wątpliwość uznać, iż były pracownik zachowa się  w odpowiedni sposób.

Warto w tym miejscu wskazać na Wytyczne Europejskiej Rady Ochrony Danych 01/2021  w sprawie przykładów zgłoszeń naruszeń ochrony danych, wersja 1.0 (dalej również jako „Wytyczne EROD 01/2021”), a konkretnie przykład nr 8, odnoszący się do „Eksfiltracji danych biznesowych przez byłego pracownika”. W omawianym przykładzie mowa jest o sytuacji, w której w okresie wypowiedzenia pracownik przedsiębiorstwa kopiuje dane handlowe z bazy danych przedsiębiorstwa, do której ma prawo dostępu i musi wypełniać swoje obowiązki. Kilka miesięcy później, po rezygnacji z pracy, wykorzystuje on uzyskane w ten sposób dane (głównie podstawowe dane kontaktowe)  w celu skontaktowania się z klientami przedsiębiorstwa w celu przyciągnięcia ich do nowej firmy. Chociaż jedyny cel byłego pracownika, który złośliwie skopiował dane, może ograniczać się do zdobycia danych kontaktowych klientów firmy do własnych celów handlowych, administrator nie ma kompetencji do uznania, że ryzyko dla osób, których dane dotyczą, jest niskie, ponieważ administrator nie ma żadnej gwarancji co do intencji pracownika. Tak więc, podczas gdy konsekwencje naruszenia mogą być ograniczone do narażenia osób, których dane dotyczą, na niechciany marketing ze strony byłego pracownika, nie jest wykluczone, że może dojść do innego, poważniejszego naruszenia tych danych.

Podobny stan faktyczny (pracownik ZUS w trakcie zatrudnienia, przeglądał dane osób ubezpieczonych; miał do nich dostęp natomiast nie miał uprawnień do ich przeglądania) był już przedmiotem rozważań Sądu Okręgowego w Elblągu, który w wyroku z dnia 24 marca 2021 r.  w sprawie o sygn. IV Pa 10/21 wskazał, iż „Zachowanie powódki, polegające na uzyskaniu bezprawnego dostępu do danych osobowych klientów ZUS, pozostające bez związku z wykonywanymi obowiązkami pracowniczymi, było działaniem celowym i świadomym i jako takie wypełniło przesłanki ciężkiego naruszenia podstawowych obowiązków pracowniczych. Podkreślić należy,  że powódka została przeszkolona przez pracodawcę do wykonywania swoich obowiązków, wielokrotnie składała oświadczenia na piśmie potwierdzające znajomość dokumentów dotyczących przetwarzania danych osobowych oraz bezpieczeństwa informacji w ZUS, wielokrotnie uczestniczyła w szkoleniach dotyczących przestrzegania przepisów o ochronie danych osobowych, posiadała wiedzę o konsekwencjach świadomego naruszenia ochrony danych osobowych, a mimo to swoim zachowaniem naruszyła przepisy nie tylko wewnątrzzakładowe takie jak „Polityka bezpieczeństwa informacji w Zakładzie Ubezpieczeń Społecznych” i „Regulamin pracy Zakładu Ubezpieczeń Społecznych”, ale również art. 4 pkt 12 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1; dalej RODO)”.

Wnioskując z powyższego należy stwierdzić, że o braku zaufania musi świadczyć sam fakt zalogowania się do systemu w przypadku braku uprawnień. W sprawie objętej ww. wyrokiem brak zaufania wystąpił mimo tego, że strony łączył stosunek zobowiązania. Tym bardziej brak zaufania musi mieć miejsce w sytuacji, gdy osoba nieuprawniona loguje się do systemu i co więcej – nie jest związana z Administratorem żadnym stosunkiem zobowiązania.

Analizując zasadność przedstawionej argumentacji należy wziąć pod uwagę fakt, iż regulacje prawne, w tym obowiązki związane z zachowaniem tajemnicy (upoważnienie do przetwarzania danych osobowych w imieniu Banku, oświadczenia potwierdzające zapoznanie się z obowiązującą w Banku polityką przetwarzania danych osobowych oraz standardami bezpieczeństwa i poufności), nie gwarantują osobie, której dane dotyczą, stuprocentowej pewności oraz ochrony przed zmaterializowaniem się negatywnych skutków, bowiem kluczowym czynnikiem są stosunki,  w jakich pozostają podmioty. Relację tę definiuje Grupa Robocza Art. 29 w ww. Wytycznych,  w których to zawarte zostało pojęcie „zaufanego odbiorcy”. Co zaś najistotniejsze - osoba, która posiadała nieuprawniony dostęp do danych osobowych pracowników Banku, aktualnie nie jest związana z Administratorem stosunkiem pracy, nie łączą ich też jakiekolwiek inne relacje np. biznesowe, zatem przedstawione powyżej okoliczności nie mają na gruncie przedmiotowej sprawy żadnego znaczenia.

Ustanie zatrudnienia jest równoznaczne z zerwaniem dotychczasowej więzi prawnej miedzy stronami stosunku pracy i zobowiązuje strony do „rozliczenia się” z wzajemnych obowiązków wynikających z zakończonej umowy. W chwili ustania stosunku pracy przestaje obowiązywać zasada wyrażona w art. 100 § 2 Kodeksu pracy (Dz. U. z 2020 r. poz. 1320 ze zm.), tj. zasada szczególnej lojalności pracownika względem pracodawcy wyrażająca się chociażby  w obowiązku dbania o dobro zakładu pracy, chronienia jego mienia oraz zachowania  w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę. Rozumiany w ten sposób obowiązek dochowania lojalności wynika z samego faktu nawiązania stosunku pracy i wiąże strony przez cały okres jego trwania, aż do momentu, w którym ustaje. O ile fakt bycia wieloletnim pracownikiem Banku, praca w Dziale Kadr, posiadanie upoważnienia do przetwarzania danych osobowych w imieniu Banku może wskazywać na duże doświadczenie  i wiedzę podmiotu nieuprawnionego, o tyle fakt, że logowania do platformy PUE ZUS miały miejsce już po ustaniu stosunku pracy, częstotliwość tych logowań, odstępy czasu pomiędzy poszczególnymi logowaniami, wskazują na działanie celowe, a nie przypadkowe byłego pracownika Banku, w żadnym razie zatem nie uzasadniają posiadanego zaufania pracodawcy do byłego pracownika. Co więcej, z przeprowadzonych czynności wyjaśniających przez Administratora oraz z uzyskanej z ZUS informacji na temat logowania do platformy PUE ZUS, załączonej jako dowód w formie korespondencji mailowej do wyjaśnień Banku z dnia […] marca 2021 r., wynika,  że dwie inne osoby, jak można przypuszczać również byłe pracownice Banku (Pani B. oraz Pani C.), które również posiadały nieuprawniony dostęp do platformy, w ogóle się do niej nie logowały,  co jedynie potwierdza umyślność i brak przypadkowości działań Pani A., której dotyczy przedmiotowy incydent (polegający na braku odebrania uprawnień do PUE ZUS skutkujący możliwością uzyskania wglądu do znajdujących się tam danych osobowych pracowników Banku). Co więcej, podobnego zdania jest Zakład Ubezpieczeń Społecznych, którego pracownik  w korespondencji mailowej z dnia […] lutego 2021 r. również wskazuje na brak przypadkowości logowań byłego pracownika – „Niestety widać, że logowań było kilka, a więc nie były one przypadkowe”.

W tym miejscu należy także podkreślić, że fakt nieodebrania uprawnień dostępu do PUE ZUS dwóm pozostałym byłym pracownikom Banku z jednej strony również świadczy o naruszeniu ochrony danych osobowych, polegającym na braku odebrania uprawnień do PUE ZUS skutkującym możliwością uzyskania wglądu do znajdujących się tam danych osobowych pracowników Banku,  a z drugiej - potwierdza nieskuteczność stosowanych środków przez Bank w przypadku ustania stosunku pracy z osobą mającą dostęp do platformy PUE ZUS. Pomimo bowiem braku logowań ze strony byłych pracowników: Pani B. oraz Pani C., ryzyko (na czym administrator winien się opierać, a co zostało już w niniejszej decyzji wielokrotnie wskazane) nieuprawnionego dostępu było – wystarczyłoby bowiem, aby któryś z ww. pracowników zalogował się do systemu, do którego dostęp nie został im odebrany, pomimo zaistnienia stosownych przesłanek.

Zgodnie z informacjami udostępnionymi przez Zakład Ubezpieczeń Społecznych pierwsze trzy logowania (w badanym przedziale czasowym […] czerwca 2020 r. – […] lutego 2021 r.) miały miejsce […] czerwca 2020 r., kolejne […] października 2020 r., ostatnie natomiast w odstępie kilkumiesięcznym, bowiem dopiero […] lutego 2021 r. Dostęp do platformy nie był jednorazowy, jednakże o nieuprawnionym dostępie pracownik poinformował dopiero po niemalże 8 miesiącach od pierwszego logowania - tego samego dnia, w którym miejsce miało ostatnie logowanie do platformy. Były pracownik nie zgłosił faktu posiadania nieuprawnionego dostępu do platformy PUE ZUS po rozwiązaniu stosunku pracy, korzystał z niej w dalszym ciągu mając wgląd w dane osobowe, w tym dane dotyczące zdrowia pozostałych pracowników, stwarzając zagrożenie dla bezpieczeństwa danych tych osób.

Podkreślić ponownie należy, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. W oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo. W oparciu o taką ocenę może podjąć decyzję np. o rezygnacji z usług administratora lub w przypadku wystąpienia przesłanek, o których mowa w art. 17 rozporządzenia 2016/679, skorzystać z prawa do usunięcia danych. Brak zawiadomienia o naruszeniu osoby fizycznej  w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować doniosłe konsekwencje dla niej, z uwagi na zakres danych objętych naruszeniem.

Jako kolejny argument uzasadniający niezawiadomienie o naruszeniu osób, których dane dotyczą, Bank wskazuje brak precyzyjnie określonego obszaru danych i kręgu pracowników, których dane dotyczą, co nie pozwala na identyfikację zagrożenia. Powyższe stwierdzenie jest niezrozumiałe, bowiem równocześnie Bank powołuje się na fakt dokonania wewnętrznej weryfikacji dostępu do platformy PUE ZUS, w wyniku której ustalono, że zakres danych dostępny do wglądu pracownikowi posiadającemu upoważnienie do przetwarzania danych osobowych jest identyczny do tego, który wskazał były pracownik w wiadomości informującej  o nieuprawnionym dostępie, co wskazuje na to, że były pracownik miał dostęp do takich samych kategorii danych przetwarzanych w ramach platformy PUE ZUS, jak osoba zatrudniona, mianowicie do danych w zakresie: imię, nazwisko, adres zamieszkania lub pobytu, nr PESEL oraz informacje z zaświadczeń e-ZLA, tj. dane dotyczące zdrowia. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których dane dotyczą. Imię i nazwisko wraz  z adresem zamieszkania lub pobytu oraz numerem ewidencyjnym PESEL mogą zostać wykorzystane przez nieuprawnione osoby m.in do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia, czy uzyskania przez osoby trzecie pożyczek  w instytucjach pozabankowych.

Co ważne i również wymaga zaakcentowania, w przedmiotowej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to,  że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi), co w konsekwencji oznacza, z uwagi na zakres danych, że wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. Z opinią tą zgodził się również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 września 2021 r. sygn. akt II SA/Wa 791/21, rozstrzygając w przedmiocie administracyjnej kary pieniężnej nałożonej na Śląski Uniwersytet Medyczny w Katowicach,  w którym Sąd stwierdził, że „(…) w rozpatrywanej sprawie nie jest istotne to, czy nieuprawniony odbiorca faktycznie wszedł w posiadanie i zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotów danych”. W dalszej części Sąd podkreśla również, że „możliwe konsekwencje zaistniałego zdarzenia niemuszą się zmaterializować. W treści art. 33 ust. 1 rozporządzenia 2016/679wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którymwiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązekzgłoszenia naruszenia właściwemu organowi nadzorczemu, chyba że jest małoprawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lubwolności osób fizycznych. Zatem podnoszona przez Administratora okoliczność, żecyt.: „nie wpłynęła do Uczelni żadna informacja mogąca mieć wpływ na zmianępoziomu ryzyka albo wymagająca podjęcia innych środków technicznych  i organizacyjnych rozszerzających katalog podjętych działań” pozostaje irrelewantnadla stwierdzenia istnienia po stronie Administratora obowiązku zgłoszeniaprzedmiotowego naruszenia ochrony danych osobowych Prezesowi UODO, zgodniez powyższym przepisem”.

Sam fakt braku precyzyjnie określonego kręgu pracowników, których naruszenie dotyczy, nie stanowi przeszkody dla realizacji obowiązku wynikającego z art. 34 rozporządzenia 2016/679, choćby dlatego, że formą przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, biorąc pod uwagę brak precyzyjnie określonego kręgu podmiotów, których naruszenie dotyczyło, może być komunikat publiczny, np. zamieszczony  w Intranecie. Należy wziąć pod uwagę w tym względzie Wytyczne WP250, które stanowią, iż: „administratorzy powinni wybierać metody pozwalające zapewnić jak największą szansę właściwego przekazania informacji wszystkim osobom fizycznym, na które to naruszenie wywiera wpływ.  W niektórych okolicznościach może to oznaczać, że administrator wykorzysta szereg metod komunikacji, a nie tylko jeden kanał kontaktowy”. Zauważyć więc należy, że administrator danych nie musi ograniczać się wyłącznie do jednej formy zawiadomienia, ale może wykorzystać  w każdym indywidualnym przypadku taką formę, która jest w stanie zapewnić skuteczne zawiadomienie osób fizycznych o wystąpieniu naruszenia. Komunikat na stronie internetowej powinien być widoczny bezpośrednio na stronie internetowej, bez konieczności otwierania dodatkowych podstron.

Co więcej, jak wynika z korespondencji przesłanej przez Administratora w dniu […] marca  2021 r., odnoszącej się do zamieszczonego komunikatu, tego typu treści są publikowane na platformie komunikacji wewnętrznej Banku. Podkreślić jednak należy, że opublikowana  w Intranecie informacja w gruncie rzeczy nie odnosi się do przedmiotowego naruszenia ochrony danych osobowych, bowiem stanowi jedynie ogólną informację, jakich z całą pewnością wiele na platformie komunikacji wewnętrznej Banku, na temat rodzaju naruszenia ochrony danych osobowych, jakim może być dostęp osoby nieupoważnionej do danych osobowych pracowników, jego możliwych konsekwencji czy środków zaradczych, co za tym idzie - informacja ta nie jest  w żadnym wypadku równoznaczna ze spełnieniem obowiązku, o którym mowa w art. 34 ust. 1 rozporządzenia 2016/679.

Z treści komunikatu nie wynika, aby dotyczył on konkretnego naruszenia, a zatem osoby, których dane dotyczą, nie miały żadnych powodów, by potraktować go jako odnoszący się do nich i odpowiednio zareagować. Co więcej, komunikat skierowany został jedynie do obecnych pracowników Banku, jako korzystających z platformy komunikacji wewnętrznej, natomiast zawiadomione o naruszeniu powinny zostać wszystkie osoby, które były zatrudnione   w Banku w okresie, w którym dostęp do danych dla osoby nieuprawnionej pozostawał otwarty,  a które aktualnie mogą już w nim nie pracować.

W tym miejscu ponownie wskazać należy, że dla powstania obowiązku zawiadomienia  o naruszeniu ochrony danych osobowych osób, których dane dotyczą, nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, wystarczająca jest  w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji, które w niniejszej sprawie, w ocenie organu nadzorczego, jest wysokie. Na powyższą ocenę wpływ ma także długi czas posiadania dostępu byłego pracownika Banku do platformy PUE ZUS, który trwał 8 miesięcy,  w którym to czasie były pracownik kilkukrotnie logował się do tejże platformy, zyskując dostęp do znajdujących się na niej danych osobowych pracowników Banku w zakresie ich imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz zwolnień lekarskich, stanowiących dane dotyczące zdrowia.

Odnosząc się do wskazanych przez Bank w piśmie z dnia […] lipca 2021 r. wniosków dowodowych na podstawie art. 78 § 1 k.p.a., tj.:

1. przeprowadzenia dowodu z zeznań świadka A. na okoliczność korzystania z dostępu do platformy PUE ZUS oraz celem ustalenia, czy były pracownik Banku zapoznawał się  z danymi osobowymi na platformie PUE ZUS w okresie od […] czerwca 2020 r. do […] lutego 2021 r., a jeżeli tak, to w jakim zakresie; ewentualnie: zwrócenie się przez organ do A. celem uzyskania informacji na piśmie, czy jako były pracownik Banku zapoznawał się z danymi osobowymi na platformie PUE ZUS w okresie od […] czerwca 2020 r. do […] lutego 2021 r., a jeżeli tak, to w jakim zakresie;
2. zobowiązania operatora platformy PUE ZUS, tj. Zakład Ubezpieczeń Społecznych, do przedstawienia logów i wszelkich zapisów sytemu informatycznego - platformy PUE ZUS - celem ustalenia, z jakimi danymi osobowymi A. zapoznawała się w ramach dostępu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od […] do dnia odebrania pracownikowi uprawnień PUE ZUS, tj. […];
3. przeprowadzenia dowodu z opinii biegłego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi A. zapoznawała się w ramach dostępu do PUE ZUS w datach od dnia ustania stosunku pracy, tj. od […] do dnia odebrania pracownikowi uprawnień w PUE ZUS, tj. do […], uznać należy je za nieistotne, gdyż dotyczą okoliczności nie mających znaczenia dla sprawy; dla zaistnienia obowiązku z art. 34 ust. 1 rozporządzenia 2016/679 ważne jest bowiem samo ryzyko nieuprawnionego dostępu, które w przedmiotowej sprawie wystąpiło, a co zostało już wielokrotnie wykazane w niniejszej decyzji.

Zgodnie z art. 78 § 1 k.p.a., organ prowadzący postępowanie obowiązany jest uwzględnić żądanie dowodowe strony, jeżeli przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy. W doktrynie przyjmuje się, że ocena tego, czy przedmiotem dowodu jest okoliczność mająca znaczenie dla sprawy, czy nie, należy do organu, a nie do strony. Oznacza to, że organ prowadzący postępowanie nie jest związany żądaniami dowodowymi strony. Organ jest natomiast związany w tej mierze przepisami prawa materialnego, stanowiącymi podstawę rozstrzygnięcia.[1] Zatem to do organu będzie należało rozstrzygniecie, czy dopuścić dany dowód, czy też nie. Nie ulega wątpliwości,  iż organ powinien najpierw rozważyć, czy dana okoliczność, dla której powołany został przez stronę środek dowodowy, wymaga udowodnienia.

Zgodnie z  wyrokiem Naczelnego Sądu Administracyjnego z 4 sierpnia 2017 r. (sygn. I OSK 1607/16, LEX nr 2345355), w każdym postępowaniu organ ma obowiązek zgromadzenia dowodów mających znaczenie dla rozstrzygnięcia danej sprawy i poczynienia na tej podstawie niezbędnych ustaleń faktycznych. O tym, jakie ustalenia faktyczne są konieczne dla załatwienia sprawy, decydują jednak prawidłowo wyłożone przepisy prawa materialnego, a nie subiektywne przekonanie strony. Żaden organ prowadzący postępowanie nie ma obowiązku przeprowadzenia wszystkich dowodów wnioskowanych przez stronę. Wskazywanych przez nią środków dowodowych nie można pominąć tylko wtedy, gdy nie zostały wyjaśnione sporne fakty mające znaczenie dla rozstrzygnięcia sprawy. Powoduje to, że tylko nieustalenie okoliczności mających znaczenie dla sprawy można uznawać za naruszenie reguł procedowania, które mogłoby mieć wpływ na treść ustaleń faktycznych,  a w konsekwencji na treść orzeczenia kończącego postępowanie w danej sprawie. Przewidziane  w art. 78 k.p.a. uprawnienie strony podlega ograniczeniom ze względu na celowość i szybkość postępowania. Organ może nie uwzględnić żądania przeprowadzenia dowodu, jeżeli ma to na celu przewleczenie sprawy (wyrok NSA z 29 listopada 2016 r., sygn. II GSK 3322/15, LEX nr 2230883).

Prezes UODO za niezasadne uznał wnioski dowodowe wskazane przez Administratora, gdyż w jego ocenie zgromadzony w sprawie materiał dowodowy jest wystarczający do rozstrzygnięcia sprawy, a okoliczności, będące przedmiotem dowodu nie mają znaczenia dla sprawy, z kolei organ nie ma obowiązku uwzględniania wszystkich wniosków strony.

Zarówno ze złożonego w ramach korespondencji mailowej oświadczenia byłego pracownika Banku Pani A. o posiadanym nieuprawnionym dostępie do danych osobowych pracowników Banku na platformie PUE ZUS o treści cyt.: „Jestem byłym pracownikiem Santander Bank Polska SA, pracę świadczyłam w jednostce Departament Kadr, stosunek pracy zakończył się […] (wypowiedzenie złożyłam […]). Zgłaszam nieuprawniony dostęp do danych osobowych pracowników Banku z platformy PUE ZUS (m.in. imię nazwisko, adresy, pesele, informacje  z zaświadczeń e-ZLA). Dostęp ten posiadałam z uwagi na nadane mi upoważnienie z ramienia Pracodawcy”, jak i z przeprowadzonej przez Bank wewnętrznej weryfikacji, mającej na celu porównanie zakresu danych, do jakiego dostęp ma osoba upoważniona do przetwarzania danych osobowych pracowników na platformie PUE ZUS z zakresem danych, do jakiego miał dostęp na tej platformie były pracownik Banku, jednoznacznie wynika, do jakich danych mógł mieć wgląd były pracownik Banku, tj. do imion i nazwisk, adresów zamieszkania lub pobytu, nr PESEL, a ponadto informacji o zwolnieniach lekarskich, tj. danych dotyczących zdrowia, pracowników Banku. Wyciąg z logów systemu PUE ZUS zaś potwierdza, że były pracownik Banku logował się pięciokrotnie do platformy PUE ZUS na profil płatnika Santander Bank Polska S.A., zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników Banku.

Mając zatem na uwadze powyższe, należy uznać, że zgłoszone przez Bank wnioski dowodowe w zakresie: przesłuchania świadka A. na okoliczność korzystania z dostępu do platformy PUE ZUS, zobowiązania Zakładu Ubezpieczeń Społecznych, jako operatora platformy PUE ZUS, do przedstawienia logów i wszelkich zapisów sytemu informatycznego - platformy PUE ZUS oraz przeprowadzenia dowodu z opinii biegłego z dziedziny informatyki dla ustalenia, z jakimi danymi osobowymi A. zapoznawała się w ramach dostępu do platformy PUE ZUS w datach od dnia ustania stosunku pracy, tj. od […] do dnia odebrania pracownikowi uprawnień w PUE ZUS, tj. do […], dotycząokoliczności nie mających znaczenia dla sprawy, a tym samym ich realizacja byłaby bezcelowa.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej  i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne”.

Rzetelne, skuteczne i przejrzyste zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych może przyczynić się do zaaktywizowania osoby, której dane dotyczą,  a tym samym zminimalizowania dla niej jego negatywnych skutków. Zawiadomienie takie jest  również wyrazem dbałości i troski administratora danych o interesy osoby, której dane dotyczą,  a tym samym może wzmocnić zaufanie do administratora

Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa,  D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego  w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą – szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem  i wykazując dbałość o interesy osób, których dane dotyczą, administrator powinien był bez zbędnej zwłoki zapewnić osobom, których dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Bank nie wywiązał się.

Stosując przepisy rozporządzenia 2016/679, należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.

Powyższe rozumowanie potwierdza wyrok WSA w Warszawie z dnia 22 września 2021 r. (sygn. akt II SA/Wa 791/21), w którym Sąd rozstrzygając w przedmiocie nałożenia administracyjnej kary pieniężnej w związku z naruszeniem przepisów o ochronie danych osobowych odniósł się do wymienionych wyżej kwestii, dodatkowo wskazując, że „W toku dokonywania oceny, czy występują ryzyka naruszenia praw lub wolności człowieka, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych (tak:  S. Jandt [w:] DS.-GVO..., red. J. Kuhling, B. Buchner, s. 617; Y. Reif [w:] DS.- GVO..., red. P. Gola, s. 496). Mogą one w szczególności polegać na utracie kontroli nad własnymi danymi osobowymi, negatywnych konsekwencjach wizerunkowych, możliwości zawierania przez inną osobę umów  z wykorzystaniem danych osobowych innej osoby fizycznej, stratach finansowych czy wreszcie negatywnym odbiorze społecznym, który może być konsekwencją upublicznienia niektórych danych osobowych. Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych (tak: jw., s. 616)”.

W konsekwencji należy stwierdzić, że Bank nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Bank tego przepisu.

Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osób, których dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych.

Ponadto zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Bank administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Bank  administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:

1. Charakter, waga i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
   Stwierdzone w niniejszej sprawie naruszenie, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą, ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i właściwych kroków w celu ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Nie bez znaczenia pozostaje również długi czas trwania tego naruszenia. Od powzięcia przez Bank informacji o naruszeniu ochrony danych osobowych, generującego wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym skutkującego koniecznością zawiadomienia o naruszeniu osób, których dane dotyczą  tj. […] lutego 2021 r. do dnia wydania niniejszej decyzji upłynęło 11 miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogły przeciwdziałać ze względu na niewywiązanie się przez Bank  z obowiązku powiadomienia osób, których dane dotyczą, o naruszeniu.
   Dodatkowo za okoliczność obciążającą uznać należy fakt, iż naruszenie, polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych, obejmowało dane osobowe wielu osób, dotyczyło bowiem wszystkich pracowników Banku, tj. jak wynika  z przesłanego zgłoszenia naruszenia ok. 10 500 osób, a pomimo iż w niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba nieuprawniona, doznały szkody majątkowej, to już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową.
2. Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
   Zgodnie z Wytycznymi Grupy Roboczej Art. 29 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679 WP253 (przyjętymi w dniu 3 października 2017 r.), zwanymi dalej „Wytycznymi WP253”,  umyślność „obejmuje zarówno wiedzę, jak i celowe działanie, w związku z cechami charakterystycznymi czynu zabronionego”. Bank podjął świadomą decyzję, by nie zawiadamiać osób, których dane dotyczą. Nie ulega wątpliwości, że Bank, przetwarzając dane osobowe na masową skalę, ma wysoki poziom wiedzy w zakresie ochrony danych osobowych, obejmujący wiedzę  o konsekwencjach stwierdzenia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw lub wolności osób fizycznych. Mając taką wiedzę, po dokonaniu analizy ryzyka, Bank podjął świadomą decyzję o rezygnacji z powiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Wola ta ujawniona została  i konsekwentnie podtrzymywana była przez Bank w postępowaniu prowadzonym przed Prezesem UODO, w trakcie którego Prezes UODO w pierwszej kolejności informował Bank o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych oraz o możliwości wystąpienia w sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Bankowi co najmniej wątpliwości co do własnej oceny skutków naruszenia. A jak wskazano w Wytycznych WP250, „w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
3. Stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679).
   Stwierdzone zostały wcześniejsze naruszenia przepisów rozporządzenia 2016/679 przez Bank w zakresie art. 6 ust. 1 rozporządzenia 2016/679, art. 21 ust. 3 w zw. z art. 12 ust. 3 rozporządzenia 2016/679 (sygn. sprawy: […], data wydania decyzji:[…] grudnia 2020 r.) oraz art. 6 ust. 1 w zw. z art. 5 ust. 1 lit. f rozporządzenia 2016/679 (sygn. sprawy: […], data wydania decyzji:[…].04.2021r.) - w obu przypadkach Prezes UODO za naruszenie ww. przepisów udzielił Santander Bank Polska S.A. z siedzibą w Warszawie upomnienia.  W Wytycznych WP253 Grupa Robocza Art. 29 wskazuje, iż to kryterium ma na celu ocenę dotychczasowego przebiegu działalności podmiotu dopuszczającego się naruszenia,  w związku z czym „Organy nadzorcze powinny wziąć pod uwagę fakt, że zakres takiej oceny może być dość szeroki, gdyż każdy rodzaj naruszenia rozporządzenia, nawet jeśli jest inny niż ten, który jest obecnie badany przez organ nadzorczy, może być „istotny” dla oceny, ponieważ mógłby wskazywać na ogólny poziom niewystarczającej wiedzy lub lekceważenie zasad ochrony danych”.
4. Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
   W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Banku. Ocena ta dotyczy reakcji Banku na pisma Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zawiadomienia  o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania,  które mogłyby spowodować brak negatywnych konsekwencji dla praw danych osób lub bardziej ograniczony wpływ tych konsekwencji niż mogłoby to mieć miejsce, nie zostały podjęte przez Bank nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
5. Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
   Dane osobowe, do których możliwy dostęp uzyskała osoba nieuprawniona, a których dotyczyło zgłoszone  przez Administratora naruszenie ochrony danych osobowych, (generujące wysokie ryzyko naruszenia praw lub wolności osób fizycznych, związane  z koniecznością powiadomienia o naruszeniu osób, których dane dotyczą), stanowią szeroki zakres (imię i nazwisko, adres zamieszkania lub pobytu, numer PESEL), a ponadto należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, bowiem wśród nich znajdują się dane dotyczące zdrowia (informacje  o zwolnieniach lekarskich), co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Niepowiadomienie osób, których dane dotyczą, o naruszeniu poufności ich danych osobowych, musi być oceniane surowiej gdy dotyczy danych osobowych szczególnej kategorii.

Żadnego wpływu na fakt zastosowania przez Prezesa UODO w niniejszej sprawie sankcji  w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane  w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

1. działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679) - administrator podjął kroki w celu wyjaśnienia sprawy, zwrócił się bowiem do Zakładu Ubezpieczeń Społecznych  o udostępnienie wszystkich logów, które były wykonywane na PUE ZUS przez osobę nieuprawnioną, wskazać jednak należy, że działania te nie przyczyniły się do zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, czy zabezpieczenia praw tych osób,  w szczególności poprzez powiadomienie ich o naruszeniu ochrony danych osobowych;
2. stopień odpowiedzialności administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) - naruszenie oceniane w niniejszym postępowaniu (niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi;
3. sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679) – o naruszeniu art. 34 ust. 1 rozporządzenia 2016/679, polegającym na niezawiadomieniu o naruszeniu ochrony danych osobowych osób, których dane dotyczą, organ nadzorczy powziął informację z przesłanego przez Administratora zgłoszenia naruszenia,  w którym z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności osób objętych tym naruszeniem, skutkujące powstaniem po stronie Banku obowiązku zawiadomienia tych osób, o naruszeniu ochrony ich danych osobowych, którego to obowiązku, jak wynikało z treści zgłoszenia i dalszej korespondencji prowadzonej w tej sprawie, Bank nie zamierzał wypełnić. Co istotne, zgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO przez Bank, stanowi wypełnienie przez administratora ciążącego na nim obowiązku,  o którym mowa w art. 33 rozporządzenia 2016/679, a zgodnie z Wytycznymi WP253 „Zwykłe dopełnienie tego obowiązku przez administratora nie może być interpretowane jako czynnik osłabiający/łagodzący. Podobnie administrator/podmiot przetwarzający, który wykazał się niedbałością, gdyż nie dopełnił obowiązku powiadomienia lub co najmniej nie powiadomił  o wszystkich szczegółach naruszenia wskutek niepoprawnej oceny rozmiaru naruszenia, może według organu nadzorczego zasłużyć na poważniejszą sankcję — innymi słowy jest mało prawdopodobne, by takie naruszenie zostało uznane za niewielkie”;
4. przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - w sprawie Prezes UODO nie stosował wcześniej środków, o których mowa we wskazanym przepisie;
5. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679) - administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji;
6. osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) - nie stwierdzono, aby administrator osiągnął w związku  z naruszeniem jakiekolwiek korzyści lub uniknął strat finansowych.

W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Bank, profesjonalnie i na skalę masową przetwarzający dane osobowe, w przyszłości będzie wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Bank przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Bankowi, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie. 

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

 Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych,  za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Bank – stosując średni kurs euro  z dnia 28 stycznia 2021 r. (1 EUR = 4,5479 PLN) – administracyjną karę pieniężną w kwocie 545.748 PLN (co stanowi równowartość 120.000 EUR).

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna w wysokości 545.748 PLN (słownie: pięćset czterdzieści pięć tysięcy siedemset czterdzieści osiem złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Bankowi administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż jest ona proporcjonalna do sytuacji finansowej Banku i nie będzie stanowiła dla niego nadmiernego obciążenia. Z przesłanego „Raportu Rocznego Santander Bank Polska S.A. za 2020 rok” wynika, że przychody z działalności Banku w 2020 r. wyniosły ok. 5 mld zł, w związku  z czym kwota nałożonej w niniejszej sprawie administracyjnej kary pieniężnej stanowi ok. 0,011 % całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jednocześnie warto podkreślić, że kwota nałożonej kary (545 748,00 zł) to jedynie 1,2 % maksymalnej wysokości kary, którą Prezes UODO mógł – stosując zgodnie z art. 83 ust. 4 rozporządzenia 2016/679 próg 2% liczony od całkowitego rocznego obrotu – nałożyć na Bank za stwierdzone w niniejszej sprawie naruszenia.

Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Banku. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Bank powinien i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Banku, przesłane do Prezesa UODO w dniu […] lipca 2021 r.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.