Naruszenie danych w Santander Bank Polska. NSA oddalił skargę kasacyjną banku

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Naczelny Sąd Administracyjny potwierdził prawidłowość decyzji Prezesa Urzędu Ochrony Danych Osobowych w sprawie naruszenia przepisów RODO przez Santander Bank Polska S.A. Chodziło o brak właściwego powiadomienia osób, których dane osobowe zostały objęte incydentem bezpieczeństwa. Organ nadzorczy nałożył na bank administracyjną karę pieniężną w wysokości 545 748 zł oraz nakazał niezwłoczne poinformowanie pracowników o naruszeniu ich danych.

Wyrok zapadł 6 marca 2026 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki i w całości podtrzymał wcześniejsze rozstrzygnięcie Wojewódzkiego Sądu Administracyjnego w Warszawie, który również przyznał rację Prezesowi UODO. Sprawa dotyczyła naruszenia art. 34 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO), który zobowiązuje administratora danych do poinformowania osób fizycznych o naruszeniu ochrony ich danych osobowych, jeżeli incydent może powodować wysokie ryzyko naruszenia ich praw lub wolności.

Spór o ocenę ryzyka naruszenia danych

W trakcie postępowania bank argumentował, że w analizowanej sytuacji nie wystąpiło wysokie ryzyko dla osób, których dane dotyczyły. Zdaniem spółki dostęp do danych miał jedynie „zaufany odbiorca”, co w ocenie administratora ograniczało potencjalne skutki incydentu.

Naczelny Sąd Administracyjny nie podzielił tej argumentacji. Sąd podkreślił, że kluczowe znaczenie ma sam fakt powstania możliwości dostępu do danych przez osobę nieuprawnioną, a nie to, czy faktycznie z nich skorzystała. W ocenie sądu już sama możliwość zapoznania się z danymi oznacza powstanie ryzyka naruszenia praw lub wolności osób fizycznych.

NSA zwrócił również uwagę na zakres danych dostępnych w Platformie Usług Elektronicznych ZUS (PUE ZUS). System ten umożliwia dostęp m.in. do imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu, a także informacji o zwolnieniach lekarskich. Dane dotyczące zdrowia należą do szczególnej kategorii danych osobowych, które podlegają szczególnej ochronie na gruncie RODO.

Nieuprawniony dostęp do danych pracowników

Incydent zgłoszony przez bank do Urzędu Ochrony Danych Osobowych dotyczył nieodebrania byłemu pracownikowi dostępu do platformy PUE ZUS. Po zakończeniu zatrudnienia osoba ta nadal posiadała dostęp do danych innych pracowników banku w profilu płatnika na platformie ZUS.

W toku postępowania ustalono, że przez osiem miesięcy po zakończeniu pracy w banku były pracownik pięciokrotnie logował się do systemu. Oznaczało to, że przez dłuższy czas miał potencjalny dostęp do danych osobowych pracowników.

Po analizie zgłoszenia Prezes UODO uznał, że doszło do naruszenia poufności danych osobowych, a charakter i zakres incydentu powodował wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczyły. W związku z tym organ nakazał administratorowi poinformowanie pracowników o naruszeniu ich danych osobowych.

Komunikat wewnętrzny nie wystarczył

Bank nie zgodził się z tą oceną i wskazywał, że incydent został zgłoszony do organu nadzorczego jedynie „z ostrożności”. Spółka uznała również, że nie ma konieczności informowania pracowników o naruszeniu.

Zamiast tego na wewnętrznej platformie komunikacyjnej opublikowano ogólny komunikat przypominający zasady przetwarzania danych osobowych.

Prezes UODO uznał jednak, że taka forma komunikacji nie spełnia wymogów przewidzianych w przepisach RODO. Informacja miała zbyt ogólny charakter i nie wskazywała, że doszło do konkretnego incydentu naruszenia ochrony danych osobowych. W rezultacie osoby, których dane mogły zostać ujawnione, nie miały możliwości podjęcia działań mających na celu ograniczenie ewentualnych negatywnych skutków zdarzenia.

Organ nadzorczy podkreślił także, że komunikat na platformie wewnętrznej mógł dotrzeć wyłącznie do aktualnych pracowników banku. Tymczasem naruszenie potencjalnie obejmowało również dane osób, które zakończyły już zatrudnienie w spółce.

Obowiązek informowania o naruszeniach

W ocenie Prezesa UODO spełnione zostały wszystkie przesłanki uzasadniające obowiązek powiadomienia osób, których dane dotyczą. Dane dostępne w systemie PUE ZUS mogą bowiem zostać wykorzystane m.in. do uzyskania informacji o stanie zdrowia danej osoby czy do prób wykorzystania danych osobowych w celu zaciągnięcia zobowiązań finansowych.

Organ wskazał również, że obowiązek informowania o naruszeniach danych osobowych ma umożliwić osobom fizycznym podjęcie odpowiednich działań ochronnych, takich jak monitorowanie wykorzystania danych czy zwiększenie czujności wobec potencjalnych prób wyłudzeń.

Dodatkową okolicznością obciążającą administratora było to, że w toku postępowania spółka konsekwentnie utrzymywała stanowisko, iż nie ma potrzeby informowania osób, których dane mogły zostać naruszone.

Wyrok kończy kilkuletnie postępowanie

Wyrok Naczelnego Sądu Administracyjnego oznacza utrzymanie w mocy decyzji Prezesa Urzędu Ochrony Danych Osobowych oraz wcześniejszego wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie. Ostatecznie bank zobowiązany jest do wykonania decyzji organu nadzorczego, w tym do poinformowania osób, których dane objął incydent.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

RPP przed lipcową decyzją. Stopy procentowe najpewniej bez zmian

Przed lipcowym posiedzeniem RPP scenariuszem bazowym pozostaje utrzymanie stóp...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Jak profesjonalna pomoc prawna ogranicza ryzyko biznesowe – Adwokat Gdańsk o kosztach błędnych decyzji

Każda decyzja biznesowa niesie ze sobą określony poziom ryzyka...

Konflikt Hotelu Gołębiewski z Książulem: czy „czarna lista” jest legalna?

Spór między siecią Hotel Gołębiewski a youtuberem Szymonem „Książulo”...

Sektor bankowy w maju 2026: marże maleją, ale akcja kredytowa wyraźnie przyspiesza

W maju 2026 r. polski sektor bankowy zarobił mniej...
Wiadomości

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...

Konflikt Hotelu Gołębiewski z Książulem: czy „czarna lista” jest legalna?

Spór między siecią Hotel Gołębiewski a youtuberem Szymonem „Książulo”...

Jak profesjonalna pomoc prawna ogranicza ryzyko biznesowe – Adwokat Gdańsk o kosztach błędnych decyzji

Każda decyzja biznesowa niesie ze sobą określony poziom ryzyka...

Sektor bankowy w maju 2026: marże maleją, ale akcja kredytowa wyraźnie przyspiesza

W maju 2026 r. polski sektor bankowy zarobił mniej...

Rozliczenia po nieważności umowy kredytowej. TSUE wskazuje zasady przedawnienia

Bieg terminu przedawnienia roszczenia banku o zwrot kapitału...

RPP przed lipcową decyzją. Stopy procentowe najpewniej bez zmian

Przed lipcowym posiedzeniem RPP scenariuszem bazowym pozostaje utrzymanie stóp...

Lex deweloper wygasa, ale rozpoczęte postępowania będą mogły być dokończone

Przepisy przejściowe dotyczące specustawy mieszkaniowej umożliwiają dokończenie rozpoczętych postępowań. W...

UOKiK bada Receptomat. Skargi dotyczyły braku kontaktu z lekarzem i zwrotów opłat

Prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowanie przeciwko...
Coś dla Ciebie

Wybrane kategorie