Stan faktyczny
Do Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO) wpłynęło zgłoszenie naruszenia ochrony danych, dokonane przez Santander Bank Polska S.A. (dalej: Administrator), informujące o naruszeniu ochrony danych osobowych 10.500 osób. Naruszenie polegało na posiadaniu przez byłego pracownika, któremu nie odebrano po zakończeniu stosunku pracy dostępu do Platformy Usług Elektronicznych ZUS (dalej: PUE ZUS), nieuprawnionego dostępu do platformy, co spowodowało, iż mógł przeglądać znajdujące się na profilu płatnika dane pracowników Administratora w zakresie ich imion i nazwisk, nr PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia.
Ustalono, iż były pracownik pięciokrotnie logował się do platformy PUE ZUS po zakończeniu stosunku pracy, zyskując tym samym nieuprawniony wgląd w dane osobowe pracowników.
Prezes UODO wskazał, iż analiza przedmiotowego naruszenia uwzględniająca charakter naruszenia, czas jego trwania, kategorie danych, liczbę osób, których naruszenie dotyczyło, a także zastosowane środki naprawcze, doprowadziła do stwierdzenia, iż doszło do naruszenia poufności danych. Z uwagi na to, iż niniejsze naruszenie poufności wiązało się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, konieczne było zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, zgodnie z obowiązkiem wyrażonym w art. 34 w związku z art. 12 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO).
Wobec dalszego braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, Prezes UODO wszczął wobec Administratora postępowanie administracyjne w tym przedmiocie.
Z uzasadnienia decyzji Prezesa UODO
Ustosunkowując się do wyjaśnień Administratora, należy wskazać, iż w omawianej sprawie wątpliwości budzi kwestia zaufania Administratora do nieuprawnionego odbiorcy – byłego pracownika. Administrator argumentował brak zawiadomienia o naruszeniu osób, których dane dotyczą, niskim ryzykiem dla praw lub wolności tych osób, wynikającym z faktu, iż podmiot posiadający nieuprawniony dostęp do platformy PUE ZUS był wieloletnim pracownikiem Administratora. Przed ustaniem zatrudnienia miał dostęp do danych osobowych pozostałych pracowników, przetwarzanych przez Administratora w celach kadrowo-płacowych, co też w ocenie Administratora prowadziło do uznania podmiotu nieuprawnionego za odbiorcę zaufanego.
Zdaniem Prezesa UODO nie można uznać byłego pracownika za odbiorcę zaufanego, wobec czego Administrator powinien był zachować się w sposób bardziej ostrożny w przypadku ujawnienia danych osobie nieuprawnionej, a więc zawiadomić o naruszeniu ochrony danych osobowych osoby, których dane dotyczą, zakładając, iż naruszenie może wywołać szersze skutki.
W oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje, i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez Administratora, dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych przez cały czas daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający ich bezpieczeństwo.
Jako kolejny argument uzasadniający niezawiadomienie o naruszeniu osób, których dane dotyczą, Administrator wskazał na brak precyzyjnie określonego obszaru danych i kręgu pracowników, których dane dotyczą, co nie pozwalało na identyfikację zagrożenia. Prezes UODO stwierdził, iż sam fakt braku precyzyjnie określonego kręgu pracowników, których naruszenie dotyczy, nie stanowi przeszkody dla realizacji obowiązku wynikającego z art. 34 RODO. Formą przekazania informacji o naruszeniu ochrony danych osobowych w przedmiotowej sprawie, biorąc pod uwagę brak precyzyjnie określonego kręgu podmiotów, których naruszenie dotyczyło, może być komunikat publiczny, np. zamieszczony w Intranecie.
Prezes UODO za niezasadne uznał wnioski dowodowe wskazane przez Administratora, gdyż w jego ocenie zgromadzony w sprawie materiał dowodowy jest wystarczający do rozstrzygnięcia sprawy, a okoliczności będące przedmiotem dowodu nie miały znaczenia dla sprawy. Ponadto Organ nie ma obowiązku uwzględniania wszystkich wniosków strony.
Biorąc pod uwagę powyższe, Administrator nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą, o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Administratora tego przepisu.
Decydując o nałożeniu na Administratora administracyjnej kary pieniężnej, Prezes UODO, stosownie do treści art. 83 ust. 2 lit. a)-k) RODO, wziął pod uwagę następujące okoliczności sprawy. Po pierwsze stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ brak wiedzy o naruszeniu osób, których dane dotyczą, a tym samym brak możliwości podjęcia przez te osoby działań zaradczych i adekwatnych kroków w celu ochrony swoich praw, może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie. Nie bez znaczenia pozostaje również długi czas trwania tego naruszenia.
Dodatkowo za okoliczność obciążającą uznano fakt, iż naruszenie polegające na niezawiadomieniu osób o naruszeniu ochrony ich danych osobowych obejmowało dane osobowe wielu osób, dotyczyło bowiem wszystkich pracowników Administratora. Pomimo iż w niniejszej sprawie brak jest dowodów, aby osoby, do danych których dostęp uzyskała osoba nieuprawniona, doznały szkody majątkowej, to już samo naruszenie poufności ich danych stanowi dla nich szkodę niemajątkową (krzywdę). Osoby fizyczne, których dane pozyskano w sposób nieuprawniony, mogą bowiem co najmniej odczuwać obawę przed utratą kontroli nad swoimi danymi osobowymi, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, dyskryminacją, czy wreszcie przed stratą finansową.
Administrator podjął świadomą decyzję o rezygnacji z powiadomienia osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych. Wola ta została ujawniona i była konsekwentnie podtrzymywana przez Administratora w postępowaniu prowadzonym przed Prezesem UODO, w trakcie którego Prezes UODO w pierwszej kolejności informował Administratora o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych oraz o możliwości wystąpienia w sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. W końcu samo wszczęcie przez Prezesa UODO niniejszego postępowania w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą, powinno nasunąć Administratorowi co najmniej wątpliwości co do własnej oceny skutków naruszenia.
Ponadto stwierdzone zostały wcześniejsze naruszenia przepisów RODO przez Administratora, w obu przypadkach Prezes UODO udzielił upomnienia za naruszenie ww. przepisów.
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę ze strony Administratora. Ocena ta dotyczy reakcji Administratora na pisma Prezesa UODO, informujące o obowiązkach ciążących na Administratorze w związku z naruszeniem ochrony danych, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zawiadomienia o naruszeniu osób, których dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania, które mogłyby spowodować brak negatywnych konsekwencji dla praw danych osób lub bardziej ograniczony wpływ tych konsekwencji niż mogłoby to mieć miejsce, nie zostały podjęte przez Administratora choćby po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
Dane osobowe, do których możliwy dostęp uzyskała osoba nieuprawniona, a których dotyczyło zgłoszone przez Administratora naruszenie ochrony danych osobowych, stanowią szeroki zakres, a ponadto należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO. Wśród nich znajdują się dane dotyczące zdrowia (informacje o zwolnieniach lekarskich), co wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Niepowiadomienie osób, których dane dotyczą, o naruszeniu poufności ich danych osobowych, musi być oceniane surowiej, gdy dotyczy danych osobowych szczególnej kategorii.
Za naruszenie Prezes UODO nałożył na Administratora administracyjną karę pieniężną w kwocie 545 748 zł (równowartość 120.000 EUR).
Na fakt zastosowania przez Prezesa UODO sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, żadnego wpływu nie miały inne, wskazane w art. 83 ust. 2 RODO okoliczności, takie jak działania podjęte przez Administratora w celu zminimalizowania szkody czy stopień odpowiedzialności Administratora w związku z zastosowanymi środkami technicznymi i organizacyjnymi (zgodnie z art. 25 i art. 32 RODO).
Również sposób, w jaki Organ nadzorczy dowiedział się o naruszeniu, nie wypłynął na fakt zastosowana sankcji i na jej wysokość.