Santander powinien powiadomić pracowników, że osoba nieuprawniona miała dostęp do ich danych – uznał prezes Urzędu Ochrony Danych Osobowych i nałożył na bank ponad 0,5 mln zł kary.
Zgodnie z RODO administrator musi powiadomić zainteresowanych o tym, że doszło do naruszenia ochrony ich danych osobowych. Chodzi o to, by dać im możliwość zabezpieczenia się przed negatywnymi skutkami wycieku danych, np. wzięciem kredytu na ich nazwisko. Przepisy nakazują przekazywanie tych informacji wtedy, gdy występuje „wysokie ryzyko naruszenia praw lub wolności osób fizycznych”.
Santander, który odkrył, że były pracownik wciąż miał dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS i mógł przeglądać dane osób zatrudnionych w banku, uznał, że nie stwarzało to wysokiego ryzyka dla zainteresowanych. Dlatego nie powiadomił ich o ewentualnym zagrożeniu. Informację o nim przekazał natomiast prezesowi Urzędu Ochrony Danych Osobowych. Ten zaś, po przeprowadzeniu postępowania, doszedł do wniosku, że ryzyko naruszenia praw i wolności osób fizycznych było wysokie i nałożył karę 545 tys. zł.
- W ocenie UODO w prezentowanej sprawie zaszły wszelkie okoliczności, które potwierdzały konieczność zawiadomienia o naruszeniu osób, których dane dotyczą. Dostęp do danych o tak szerokim zakresie stwarza ryzyko dla praw lub wolności osób, których one dotyczą. Dane przetwarzane na platformie PUE ZUS mogą zostać wykorzystane przez nieuprawnione osoby m.in. do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia lub uzyskania przez osoby trzecie danych umożliwiających zaciągnięcie pożyczek w instytucjach pozabankowych - zauważa Adam Sanocki, rzecznik prasowy UODO.
Wysokie ryzyko
Na wspomnianej platformie są dostępne nie tylko dane pracowników, takie jak imię i nazwisko oraz numer PESEL, lecz także informacje o zwolnieniach lekarskich. Jak wykazało postępowanie UODO, ekspracownik banku logował się na niej pięciokrotnie.
- W tej sprawie nie jest istotne to, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że miała taką możliwość. Oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych - zaznacza Adam Sanocki.
UODO poza karą zobowiązał też bank do przekazania zainteresowanym informacji o zagrożeniu dla ich danych.
Santander przekonywał, że incydent nie wiąże się z wysokim ryzykiem naruszenia praw lub wolności pracowników, a zgłoszenia do UODO dokonał, kierując się jedynie ostrożnością. Mimo to na platformie do wewnętrznej komunikacji zamieścił komunikat przypominający zasady bezpieczeństwa związane z ochroną danych. UODO uznał to za niewystarczające, gdyż zabrakło konkretnej informacji, że ktoś nieuprawniony miał dostęp do danych osób zatrudnionych w banku. Co więcej, sam komunikat mógł dotrzeć jedynie do obecnych pracowników, tymczasem informacja o incydencie, zdaniem UODO, powinna zostać przekazana również osobom, które zakończyły już pracę w banku.
Santander odmówił skomentowania decyzji UODO. Nie odpowiedział nam również na pytanie, czy będzie ją skarżył.
Niełatwa ocena zagrożenia
Artykuł 34 RODO, który nakazuje zawiadamianie osób o naruszeniu ochrony ich danych w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, od początku budzi spore wątpliwości interpretacyjne.
- Są one niejako wpisane w treść regulacji RODO i należało się ich spodziewać już w momencie przyjęcia tego aktu. Wynika to z dwóch kwestii - oparcia obowiązku na zwrocie nieostrym („wysokie ryzyko naruszenia praw i wolności”) i domniemania powodującego, że tylko możliwość wystąpienia takiego ryzyka wystarczy do zaistnienia obowiązku. Wystąpienie tych przesłanek zawsze będzie podlegało ocenie stosujących przepisy, chyba że wprowadzony zostanie obowiązek stosowania określonego urzędowego narzędzia do szacowania ryzyka, na co się nie zanosi i ku czemu nie ma chyba wystarczających podstaw prawnych - zauważa Grzegorz Sibiga z Instytutu Nauk Prawnych PAN i kancelarii Traple, Konarski, Podrecki i Wspólnicy.
Nie wiadomo, o jakim odsetku incydentów administratorzy zawiadamiają zainteresowanych. Pewne wyobrażenie na ten temat może dawać badanie przeprowadzane co roku przez Związek Firm Ochrony Danych Osobowych na podstawie informacji przekazywanych przez kilkaset różnych administratorów. Wynika z niego, że jeszcze przed trzema laty podchodzili oni bardzo ostrożnie i przekazywali ostrzeżenia aż w 76 proc. przypadków naruszeń ochrony danych. W zeszłym roku odsetek ten spadł już do 25 proc. (patrz infografika). Widać więc dużą zmianę podejścia.
- Nie ma dobrej odpowiedzi na pytanie, jak ocenić zagrożenie - z RODO nie wynika żadna konkretna procedura - zwraca uwagę dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński.
Dodaje, że najbardziej pożądanym sposobem oceny ryzyka jest taki, który na podstawie tych samych danych zawsze będzie prowadził do tego samego rezultatu - czyli taki, który nie jest ocenny.
- Dlatego tak popularna jest w praktyce metoda opracowana przez ENISĘ, Agencję Unii Europejskiej ds. Cyberbezpieczeństwa: mamy prosty wzór, pod który podstawiamy zmienne według klucza i wynik porównujemy ze skalą, na której odczytujemy ryzyko. Problem w tym, że nawet w takim przypadku UODO zdarza się mieć inne zdanie od administratorów danych - przykładem jest numer PESEL, który metoda ENISY każe traktować jak dane zwykłe, a UODO każe podwyższać ocenę ze względu na ryzyka, jakie jego zdaniem w Polsce wiążą się z ujawnieniem tych numerów - dodaje adwokat.
W zasadzie jedynym sposobem na zapewnienie bezpieczeństwa administratora byłoby więc informowanie zainteresowanych o każdym naruszeniu. Eksperci uważają jednak, że przyniosłoby to więcej szkód niż pożytku.
- Zawiadomienie powinno mieć dla nas charakter alarmu, że w związku z incydentem może coś znaczącego nam zagrażać. Jeżeli będziemy powiadamiani przy błahych incydentach, może powodować to u nas niepotrzebny niepokój lub wręcz odwrotnie - usypiać naszą czujność, ponieważ w fali zawiadomień nie zwrócimy uwagi na te rzeczywiście istotne - ostrzega prof. Grzegorz Sibiga.
/>