Audyt i ryzyko

Audyt RODO polega na sprawdzeniu, czy firma dobrze i zgodnie z przepisami chroni dane osobowe (klientów, pracowników, kontrahentów), takie jak np. imię i nazwisko, adres czy numer telefonu. To pozwala zidentyfikować mocne strony oraz obszary wymagające poprawy. To trochę jak „wizyta kontrolna”, podczas której sprawdza się, czy wszystko działa prawidłowo, zanim coś się zepsuje. Taki przegląd wskaże, co firma robi dobrze, a gdzie istnieje ryzyko kary finansowej lub wycieku danych. A jeśli w trakcie audytu znajdą się jakieś nieprawidłowości to audytor powie co zrobić, żeby je naprawić.

W dniu 6 marca 2026 r. Naczelny Sąd Administracyjny (NSA) wydał wyrok, oddalając skargę kasacyjną Santander Bank Polska S.A. i tym samym ostatecznie podtrzymując karę w wysokości 545 748 zł nałożoną przez Prezesa UODO 19 stycznia 2022 r.

Opis incydentu i decyzja UODO

Karę w wysokości 545 748 zł nałożono na Bank decyzją z dnia 19 stycznia 2022 r. w związku ze stwierdzeniem uchybień w procedurze obsługi naruszenia ochrony danych osobowych. Incydent polegał na utrzymaniu aktywnego dostępu byłego pracownika do danych osobowych personelu w systemie PUE ZUS. Bank powziął informację o naruszeniu bezpośrednio od byłej pracownicy, która po ustaniu stosunku pracy z Santander Bank Polska S.A. samodzielnie zawiadomiła instytucję o braku odebrania jej uprawnień do profilu płatnika. W toku postępowania ustalono, że w okresie 8 miesięcy od rozwiązania umowy do momentu zgłoszenia, osoba ta kilkukrotnie logowała się do systemu. Zakres danych, do których posiadała nieuprawniony dostęp, był tożsamy z zakresem przetwarzanym podczas jej zatrudnienia (imię, nazwisko, PESEL, adresy zamieszkania, zwolnienia lekarskie oraz dane o stanie zdrowia).

Co to jest?

Analiza ryzyka nie jest co prawda pojęciem bezpośrednio zdefiniowanym w RODO, jednak jest obowiązkowa dla każdego kto przetwarza dane osobowe. Jej celem jest szacowanie prawdopodobieństwa wystąpienia oraz skutków naruszenia. To sprawdzenie, co złego może stać się
z danymi osobowymi i jak wpłynęłoby to na ludzi, których te dane dotyczą. Nie chodzi więc o ochronę firmy, ale o ochronę osób.