Naczelny Sąd Administracyjny podtrzymał decyzję Prezesa Urzędu Ochrony Danych Osobowych nakładającą karę finansową na Santander Bank Polska S.A. Spór prawny dotyczył zaniechania przez administratora obowiązku skutecznego powiadomienia pracowników o wystąpieniu wysokiego ryzyka naruszenia ochrony ich danych osobowych. Orzeczenie definitywnie rozstrzyga kwestię interpretacji poziomu zagrożenia w sytuacjach, gdy nieuprawniona, lecz znana administratorowi osoba zachowuje dostęp do systemów zawierających dane szczególnej kategorii.
Charakterystyka incydentu i naruszenie poufności
Bezpośrednią przyczyną postępowania był brak odebrania uprawnień do Platformy Usług Elektronicznych ZUS byłemu pracownikowi banku. W rezultacie osoba ta, przez osiem miesięcy po ustaniu stosunku pracy, zachowała wgląd w profil płatnika firmy. Audyt wykazał, że w tym czasie doszło do pięciokrotnego logowania się nieuprawnionego użytkownika do systemu. Zakres danych, do których uzyskano dostęp, obejmował imiona, nazwiska, numery PESEL, adresy zamieszkania oraz informacje o zwolnieniach lekarskich, co klasyfikuje naruszenie jako dotyczące danych o stanie zdrowia.
Rozbieżność w ocenie ryzyka
Kluczowym punktem sporu była ocena ryzyka dla praw i wolności osób fizycznych. Santander Bank Polska argumentował, że incydent nie wymagał indywidualnych powiadomień, ponieważ dostęp posiadała „zaufana osoba”, co w ocenie instytucji minimalizowało zagrożenie. Bank ograniczył się jedynie do zamieszczenia ogólnego komunikatu o zasadach przetwarzania danych na wewnętrznej platformie komunikacyjnej.
Prezes UODO oraz sądy obu instancji odrzuciły tę argumentację. Organ nadzorczy uznał, że sam fakt technicznej możliwości zapoznania się z danymi przez osobę nieuprawnioną jest wystarczający do stwierdzenia wysokiego ryzyka. Podkreślono, że informacje o charakterze ogólnym nie pozwalają podmiotom danych na podjęcie realnych działań zabezpieczających, takich jak np. zastrzeżenie numeru PESEL czy monitorowanie prób wyłudzeń kredytowych.
Konsekwencje prawne i finansowe
NSA, oddalając skargę kasacyjną 6 marca 2026 roku, potwierdził zasadność nałożenia kary w wysokości 545 748 zł. Sąd wskazał, że administrator naruszył art. 34 ust. 1 RODO, nie informując niezwłocznie osób dotkniętych wyciekiem o charakterze naruszenia oraz możliwych środkach zaradczych. Dodatkowym uchybieniem był fakt, że komunikat na platformie wewnętrznej nie mógł dotrzeć do byłych pracowników, których dane również znajdowały się w systemie PUE ZUS.
Podsumowanie
Wyrok NSA stanowi istotny precedens dla managerów customer care i działów operacyjnych, potwierdzając, że subiektywne zaufanie do osoby nieuprawnionej nie zwalnia administratora z restrykcyjnych obowiązków informacyjnych. Kluczowym czynnikiem decydującym o konieczności powiadomienia jest potencjalna możliwość nadużycia danych, a nie udowodnione, celowe działanie na szkodę osób trzecich.