Naczelny Sąd Administracyjny podtrzymuje karę 545 tys. zł dla banku za brak zawiadomienia pracowników o wycieku ich danych.

 Opis incydentu i decyzja UODO

Karę w wysokości 545 748 zł nałożono na Bank decyzją z dnia 19 stycznia 2022 r. w związku ze stwierdzeniem uchybień w procedurze obsługi naruszenia ochrony danych osobowych. Incydent polegał na utrzymaniu aktywnego dostępu byłego pracownika do danych osobowych personelu w systemie PUE ZUS. Bank powziął informację o naruszeniu bezpośrednio od byłej pracownicy, która po ustaniu stosunku pracy z Santander Bank Polska S.A. samodzielnie zawiadomiła instytucję o braku odebrania jej uprawnień do profilu płatnika. W toku postępowania ustalono, że w okresie 8 miesięcy od rozwiązania umowy do momentu zgłoszenia, osoba ta kilkukrotnie logowała się do systemu. Zakres danych, do których posiadała nieuprawniony dostęp, był tożsamy z zakresem przetwarzanym podczas jej zatrudnienia (imię, nazwisko, PESEL, adresy zamieszkania, zwolnienia lekarskie oraz dane o stanie zdrowia).

Santander Bank Polska samodzielnie zgłosił incydent do organu nadzorczego, deklarując działanie z „ostrożności procesowej”. Jednocześnie administrator podjął decyzję o odstąpieniu od zawiadomienia osób, których dane dotyczą, argumentując to niskim ryzykiem naruszenia ich praw i wolności z uwagi na status „zaufanego odbiorcy”, jaki przypisano byłej pracownicy. Zamiast indywidualnych powiadomień, w wewnętrznej sieci banku zamieszczono jedynie ogólny komunikat przypominający o zasadach RODO, bez wskazania na konkretne zdarzenie. W wyniku postępowania wyjaśniającego Prezes UODO uznał, że Bank błędnie zbagatelizował skalę zagrożenia, dokonując niewłaściwej oceny ryzyka dla praw i wolności pracowników.

W toku postępowania Bank argumentował, iż w oparciu o informacje uzyskane od Zakładu Ubezpieczeń Społecznych (operatora platformy PUE ZUS) nie zidentyfikowano przypadków nielegalnego przetwarzania danych. Podniesiono również, że jeśli doszłoby do hipotetycznego naruszenia, to dotyczyłoby ono wyłącznie zakresu danych, do którego pracownica miała dostęp w okresie zatrudnienia. W ocenie Banku nie doszło zatem do naruszenia ochrony danych osobowych w rozumieniu art. 4 pkt 12 rozporządzenia 2016/679 (RODO).

W wydanej decyzji Prezes UODO podkreślił naruszenie art. 34 ust. 1 RODO, polegające na zaniechaniu zawiadomienia osób, których dane dotyczą, o naruszeniu bez zbędnej zwłoki. Organ nakazał Bankowi zawiadomienie – w terminie 3 dni od dnia doręczenia decyzji – wszystkich pracowników zatrudnionych w okresie występowania nieuprawnionego dostępu do platformy PUE ZUS. Powiadomienie to, zgodnie z art. 34 ust. 2 RODO, musiało zawierać co najmniej:

1. a) jasny opis charakteru naruszenia ochrony danych osobowych;
   b) imię i nazwisko oraz dane kontaktowe Inspektora Ochrony Danych (IOD) lub innego punktu kontaktowego;
   c) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
   d) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu i zminimalizowania jego skutków.

Dlaczego bank przegrał przed NSA?

Santander Bank Polska zgodził się z argumentacją Prezesa UODO i odwołał się od jego decyzji do WSA, a później do NSA. Naczelny Sąd Administracyjny, podobnie jak wcześniejsza instancja – Wojewódzki Sąd Administracyjny stanowisko Banku. 

Naczelny Sąd Administracyjny ostatecznie oddalił skargę kasacyjną banku. Sąd w całości podzielił argumentację organu nadzorczego oraz sądu pierwszej instancji, uznając nałożoną administracyjną karę pieniężną za zasadną i proporcjonalną do stwierdzonego uchybienia.

W uzasadnieniu wyroku NSA sformułował kluczowe dla praktyki ochrony danych wnioski:

1. Bezwzględny charakter wysokiego ryzyka (Art. 34 ust. 1 RODO): Sąd podkreślił, że dla powstania obowiązku zawiadomienia osób, których dane dotyczą, wystarczające jest samo wystąpienie wysokiego ryzyka naruszenia ich praw lub wolności. W ocenie Sądu, nieuprawniony dostęp do numeru PESEL w powiązaniu z danymi o stanie zdrowia (zawartymi w zwolnieniach lekarskich) oraz danymi kontaktowymi  w sposób oczywisty generuje takie ryzyko. Administrator nie może uzależniać wykonania tego obowiązku od udowodnienia, że dane zostały faktycznie wykorzystane na szkodę osób (np. w celu kradzieży tożsamości).
2. Odrzucenie koncepcji „zaufanego odbiorcy”: NSA kategorycznie odrzucił linię obrony banku, jakoby były pracownik mógł być traktowany jako odbiorca zaufany. Sąd wskazał, że z chwilą ustania stosunku pracy wygasają wszelkie upoważnienia do przetwarzania danych, a osoba ta staje się dla administratora osobą trzecią (nieuprawnioną). Brak odebrania dostępów do systemów takich jak PUE ZUS stanowi rażące naruszenie zasady poufności i integralności.
3. Niedostateczność komunikatów ogólnych: Sąd uznał za nieprawidłowe działanie banku polegające na zamieszczeniu jedynie ogólnego komunikatu w intranecie. Zgodnie z wyrokiem, jeżeli naruszenie spełnia przesłanki wysokiego ryzyka, administrator jest zobligowany do indywidualnego i jasnego poinformowania każdej z osób, której dane zostały narażone, zgodnie z wymogami art. 34 ust. 2 RODO.

Wyrok z marca 2026 r. stanowi istotny precedens w polskim orzecznictwie, nakładając na administratorów danych wyższe standardy w zakresie weryfikacji procedur „off-boardingu” pracowników oraz restrykcyjnego podejścia do oceny ryzyka incydentów wewnętrznych. Sąd potwierdził, że ochrona prywatności pracowników i transparentność działań administratora mają prymat nad wizerunkowym interesem instytucji finansowej.

Co to oznacza dla każdego administratora danych?

Decyzja Naczelnego Sądu Administracyjnego oddalająca skargę kasacyjną to na pewno kluczowa lekcja dla IOD. Wyrok wzmacnia praktykę powiadamiania osób, których dane dotyczą, bez względu czy mamy dowody dostępu do danych, czy też nie. Sama możliwość już jest przesłanką decydującą o naruszeniu i podjęciu odpowiednich działań.

W naszej praktyce doradczej wielokrotnie identyfikowaliśmy naruszenia polegające na zaniechaniu odebrania dostępów do platformy ZUS PUE osobom, z którymi rozwiązano stosunek pracy. Skala problemu jest poważna – odnotowaliśmy przypadek, w którym były pracownik przez okrągły rok regularnie monitował byłego pracodawcę o fakcie posiadania aktywnego wglądu w dane kadrowe. Mimo tych zgłoszeń, administrator pozostawał bezczynny. W konsekwencji, wobec braku reakcji ze strony organizacji, osoba ta samodzielnie powiadomiła o incydencie Urząd Ochrony Danych Osobowych.

Taka bierność jest dla administratora krytyczna z kilku powodów:

• Utrata poufności: Zgodnie z art. 5 ust. 1 lit. f RODO, administrator jest zobowiązany zapewnić integralność i poufność danych. Każdy dzień zwłoki w odebraniu uprawnień jest traktowany jako naruszenie tej zasady.
• Wiarygodność zgłaszającego: Fakt, że to osoba nieuprawniona (były pracownik) informuje o wycieku, stawia administratora w skrajnie niekorzystnym świetle przed organem nadzorczym. Świadczy to o braku skutecznych mechanizmów kontroli wewnętrznej i monitorowania systemów.
• Ryzyko surowszej kary: Prezes UODO przy wymierzaniu sankcji finansowych bierze pod uwagę czas trwania naruszenia oraz stopień współpracy z organem. Ignorowanie zgłoszeń o nieuprawnionym dostępie jest traktowane jako okoliczność obciążająca, zwiększająca ryzyko nałożenia maksymalnych kar przewidzianych w rozporządzeniu.

Rekomendacje dla Państwa organizacji:
Naszym zdaniem, aby uniknąć ryzyka prawnego i finansowego, każdy administrator powinien wdrożyć cykliczny audyt uprawnień w systemach zewnętrznych (ZUS PUE, systemy bankowe) oraz zautomatyzować proces odbierania dostępów w dniu ustania zatrudnienia. Wyrok NSA z 2026 roku potwierdza, że w erze cyfrowej „zaufanie” do byłego personelu nie jest środkiem bezpieczeństwa akceptowalnym przez organy nadzoru.

• Pełna treść decyzji UODO z 2022r.

https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021

• Wyrok Naczelnego Sądu Administracyjnego, III OSK 2528/21, „Rażące naruszenie prawa” w rozumieniu art. 149 § 1a p.p.s.a.

Autor
Agnieszka Bogumił-Jankowska Menadżer • Ekspert ds. komunikacji i rozwoju • Koordynator Relacji z Klientem