22 lutego 2022 r. Prezes Urzędu Ochrony Danych Osobowych (dalej: „Prezes UODO”) opublikował decyzję z dnia 19 stycznia 2022 r. nakładającą na Santander Bank Polska SA (dalej: „Santander” lub „Bank”) administracyjną karę finansową w wysokości 545 000 zł za naruszenie art. 34 ust. 1 RODO[1], tj. niezawiadomienie bez zbędnej zwłoki o naruszeniu ochrony danych osobowych osób, których dane dotyczą.

Santander w ramach analizy naruszenia ochrony danych stwierdził, że nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, i nie dokonał zawiadomienia tych osób zgodnie z art. 34 RODO. Prezes UODO w czasie postępowania wyjaśniającego ocenił, że naruszenie wiązało się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, z tego też względu konieczne jest zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, zgodnie z obowiązkiem wyrażonym w art. 34 w związku z art. 12 RODO.

W decyzji Prezes UODO wskazuje, że fakt braku precyzyjnego określenia kręgu pracowników, których naruszenie dotyczy, nie stanowi przeszkody dla realizacji obowiązku wynikającego z art. 34, oraz analizuje, jak należy interpretować „zaufanego odbiorcę danych”.

Okoliczności naruszenia

Santander zawiadomił UODO o naruszeniu ochrony danych osobowych w związku z dostępem do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS) byłego pracownika Banku. Były pracownik mógł przeglądać dane osobowe innych pracowników znajdujących się na profilu płatnika Banku. Santander, zgłaszając naruszenie ochrony danych osobowych w rozumieniu art. 33 RODO, poinformował o naruszeniu ochrony danych 10 500 osób. Były pracownik mógł przeglądać takie dane pracowników Banku, jak: imiona, nazwiska, numery PESEL, adresy zamieszkania lub pobytu oraz informacje o zwolnieniach lekarskich stanowiące dane dotyczące zdrowia. W toku postępowania ustalono, że pracownik po zakończeniu pracy korzystał z przysługujących mu uprawnień i pięciokrotnie logował się do platformy. Nie ustalono dokładnie, jakich osób dane przetwarzał były pracownik ani w jakim zakresie.

Santander w ramach analizy zdarzenia oraz szacowania ryzyka naruszenia praw lub wolności osób fizycznych uznał, że zaistniałe naruszenie ochrony danych osobowych, polegające na posiadaniu przez pracownika Banku po ustaniu stosunku pracy nieuprawnionego dostępu do danych pracowniczych przetwarzanych na Platformie Usług Elektronicznych ZUS w zakresie: imion i nazwisk, adresów zamieszkania lub pobytu, numerów PESEL, a ponadto informacji o zwolnieniach lekarskich, tj. danych dotyczących zdrowia, powoduje niskie ryzyko naruszenia praw lub wolności osób fizycznych, skutkujące brakiem konieczności zawiadomienia osób, których dotyczy naruszenie.

Santander przedstawił swoją analizę oceny naruszenia pod kątem naruszenia praw lub wolności osób fizycznych oraz wskazał argumenty, na podstawie których podjął taką decyzję. Bank podał m.in., że byłego pracownika, który miał dostęp do danych osobowych na platformie PUE ZUS, można uznać za odbiorcę „zaufanego”. Bank zaufał odbiorcy z uwagi na złożone przez pracownika w trakcie zatrudnienia w Banku oświadczenia, „że ten nie podejmie żadnych dalszych działań w kwestii tych danych”. Zdaniem Banku za okoliczność przemawiającą za prawidłowością dokonanej oceny ryzyka przemawia fakt, że była pracownica Banku samodzielnie zgłosiła administratorowi nieuprawniony dostęp do platformy PUE ZUS.

Ustalenia UODO

Prezes UODO po przeprowadzonym postępowaniu administracyjnym stwierdził, że w analizowanej sprawie doszło do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. UODO również podtrzymał swoje stanowisko i uznał, że przedmiotowe naruszenie poufności danych zawartych na platformie PUE ZUS przez byłego pracownika Banku powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Prezes UODO w swoich ustaleniach odniósł się do kwestii, jak należy rozumieć zaufanego odbiorcę w ramach oceny ryzyka naruszenia praw lub wolności osób fizycznych.

Zaufany odbiorca danych – Grupa Robocza art. 29

Termin „zaufany odbiorca danych” pojawia się w kontekście oceny ryzyka naruszenia praw lub wolności osób fizycznych. Grupa Robocza art. 29 (obecnie Europejska Rada Ochrony Danych – EROD) w wytycznych dotyczących zgłaszania naruszeń ochrony danych zgodnie z RODO[2] wyjaśnia, jak można przeprowadzić „test”, czy w danym przypadku mamy do czynienia z takim nieuprawnionym, ale „zaufanym odbiorcą”. EROD podaje, że administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania. Nawet jeżeli uzyskano wgląd do danych, administrator nadal może mieć zaufanie do odbiorcy, że nie podejmie on żadnych dalszych działań w kwestii tych danych oraz że niezwłocznie zwróci dane do administratora i będzie współpracować przy ich odzyskaniu.

Analiza, czy w danym przypadku dane zostały ujawnione zaufanemu odbiorcy, jest ważnym czynnikiem przy ocenie wagi konsekwencji naruszenia konkretnych danych osobowych.

EROD podkreśla, że zaufany odbiorca może spowodować, iż skutki naruszenia nie będą poważne, co z kolei może wyeliminować prawdopodobieństwo wystąpienia ryzyka dla osób fizycznych, w wyniku czego nie będzie już potrzeby powiadomienia organu nadzorczego lub osób fizycznych, na które to naruszenie wywiera wpływ[3].

EROD w wytycznych 1/2021 jako przykład zaufanego odbiorcy podaje agenta ubezpieczeniowego, który działając jako podmiot przetwarzający, otrzymał wiadomość e-mail z danymi nie swoich klientów i poinformował o tym niezwłocznie administratora oraz zobowiązał się do usunięcia błędnie przekazanej wiadomości.

Zaufany odbiorca danych – Prezes UODO

Prezes UODO w decyzji wskazuje, że kluczowym czynnikiem, na podstawie którego można uznać danego odbiorcę za zaufanego, są stosunki, w jakich pozostają podmioty.

Pojęcie zaufanego odbiorcy na gruncie decyzji w sprawie Santander

Prezes UODO w swojej decyzji precyzuje, że były pracownik nie może być postrzegany przez organizację jako zaufany odbiorca. Były pracownik, który nie jest już upoważniony do przetwarzania danych ze względu na rozwiązanie stosunku pracy, nie jest godny zaufania. Zdaniem Prezesa UODO, aby można mówić o zaufanym odbiorcy, między podmiotami musi istnieć pewna więź prawna lub faktyczna, która pozwala na ocenę stopnia zaufania stron. Według Prezesa UODO między Bankiem a byłym pracownikiem nie występuje więź ani prawna, ani biznesowa. Prezes UODO wskazuje, że nie można ponad wszelką wątpliwość uznać, iż były pracownik zachowa się w odpowiedni sposób.

Pojęcie zaufanego odbiorcy na gruncie innych decyzji Prezesa UODO

Czy komentowana decyzja w zakresie wykładni zaufanego odbiorcy jest przełomowa? Nie, ale warto zapoznać się z argumentacją Prezesa UODO dotyczącą tego, jak polski organ nadzorczy rozumie pojęcie zaufanego odbiorcy. Przykładowo można wskazać, że w decyzji DKN.5131.5.2020 Prezes UODO za zaufanego odbiorcę danych uznał kontrahenta, z którym współpracuje administrator, a w decyzji DKN.5131.5.2020 jako zaufanego odbiorcę podał niewłaściwy dział organizacji (podobnie jak EROD w swoich wytycznych).

Polski organ nadzorczy w decyzji DKN.5130.3114.2020 wskazał, że domownik nie jest „z automatu” zaufanym odbiorcą danych. Aby mieć pewność, że dany domownik jest zaufanym odbiorcą, należy każdorazowo badać relację łączącą takiego nieuprawnionego odbiorcę z docelowym odbiorcą.

Wnioski z decyzji w sprawie Santander

Na kanwie decyzji w sprawie Santander można odnotować dwa ważne wnioski:

  • były pracownik nie jest zaufanym odbiorcą danych;
  • brak precyzyjnego określenia osób, których naruszenie dotyczy, nie stanowi przeszkody dla realizacji obowiązku wynikającego z art. 34. W przypadku gdy administrator nie wie, czyje dane zostały naruszone, należy przyjąć szeroki katalog i poinformować wszystkich potencjalnych „poszkodowanych”.

Pełna treść decyzji w sprawie Santander.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Zob. https://www.uodo.gov.pl/pl/10/12 (dostęp: 15.03.2022).

[3] Również w tym wypadku wszystko będzie zależało od konkretnej sytuacji i każdy przypadek należy rozważać indywidualnie.