Dostęp i logowanie do systemu byłego pracownika narusza RODO

Wojewódzki Sąd Administracyjny oddalił skargę na decyzję UODO nakładającą na jeden z banków karę pieniężną w kwocie 545 tysięcy złotych.

Były pracownik banku po zakończeniu zatrudnienia cały czas posiadał dostęp do profilu płatnika na Platformie Usług Elektronicznych ZUS (PUE ZUS) i logował się do tej platformy.

UODO nałożył na administratora karę pieniężną oraz nakazał zawiadomienie o naruszeniu osób, których dane dotyczą.

Jednocześnie organ nadzorczy wskazał, że „obowiązek zawiadomienia osoby nie jest uzależniony od materializacji negatywnych konsekwencji związanych z naruszeniem, ale od samej możliwości wystąpienia takiego ryzyka”.

Powyższy pogląd podzielił WSA dodając, że „o wysokim ryzyku świadczy zakres danych gromadzonych na platformie PUE ZUS, do którego miał dostęp były pracownik oraz fakt, że bank tolerował tę sytuację przez długi czas”. Dodatkowo „nie jest istotne czy osoba nieuprawniona zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko”.

Sąd zakwestionował także sposób powiadomienia o naruszeniu przez bank, który umieścił jedynie ogólny (nie nawiązujący do konkretnego naruszenia) komunikat na platformie komunikacji wewnętrznej.

Źródło: wyrok WSA z 15 listopada 2022 r. (sygn. akt II SA/Wa 546/22), cytaty za „Biuletynem UODO” z czerwca 2023 r., w którym omówiono uzasadnienie wyroku WSA.