NSA przyznał rację Prezesowi UODO, że przez zaniechanie właściwego powiadomienia osób o naruszeniu ochrony ich danych osobowych bank naruszył przepisy RODO. Prezes Urzędu Ochrony Danych Osobowych za naruszenie art. 34 ust. 1 RODO nałożył karę w wysokości 545 748 zł oraz nakazał niezwłoczne powiadomienie pracowników (gdyż to ich dane uległy naruszeniu), m. in. o potencjalnych konsekwencjach tej sytuacji, a także środkach, w jaki sposób osoby te mogą się zabezpieczyć przed negatywnymi skutkami tego incydentu.

6 marca 2026 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki. Podtrzymał w ten sposób w całości wcześniejszy wyrok WSA w tej sprawie, który również przyznał rację Prezesowi UODO. NSA w szczególności nie zgodził się z argumentem skarżącego, że dostęp do danych miała zaufana osoba/odbiorca, co powodowało, że nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Według sądu w tej sprawie nie jest istotne, czy osoba nieuprawniona faktycznie zapoznała się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko (miała możliwość zapoznania się z tymi danymi). W konsekwencji oznacza to, że z uwagi na zakres danych wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotów danych. PUE ZUS umożliwia bowiem dostęp do danych w zakresie: imion i nazwisk, numerów PESEL, adresów zamieszkania lub pobytu oraz informacji o zwolnieniach lekarskich stanowiących dane dotyczące zdrowia, które są danymi szczególnej kategorii.

Nieuprawniony dostęp do danych pracowników z PUE ZUS

Incydent, który Santander Bank Polska S.A. zgłosił do UODO, polegał na tym, iż byłemu pracownikowi nie odebrano dostępu do Platformy Usług Elektronicznych ZUS. W efekcie, nawet po zakończeniu pracy w banku, miał on dostęp do danych innych pracowników z PUE ZUS na profilu płatnika firmy. Co więcej, dalsze postępowanie wykazało, że na przestrzeni 8 miesięcy aż 5-krotnie logował się on do platformy, już po wygaśnięciu umowy o pracę.

Prezes UODO stwierdził, po analizie zgłoszenia, że doszło do naruszenia poufności danych, a co więcej – rodziło to wysokie ryzyko dla praw lub wolności osób, których te dane dotyczyły. Dlatego też organ nakazał administratorowi powiadomienie tych osób. Bank uznał jednak, po własnej analizie, że nie doszło do naruszenia przepisów RODO, a incydent został zgłoszony jedynie „z ostrożności”. Co więcej, spółka stwierdziła też, że nie ma konieczności informowania pracowników o incydencie, gdyż nie rodził on wysokiego ryzyka dla ich praw lub wolności. Na platformie wewnętrznej komunikacji
w firmie zamieszczono tylko komunikat przypominający zasady przetwarzania danych osobowych.

UODO: osoby, których dane uległy naruszeniu, muszą być o tym poinformowane

Prezes UODO stwierdził jednak, że informacja ta miała zbyt ogólny charakter i wskazywała tylko przykładowe rodzaje naruszeń. Nie wskazano w niej, że incydent miał faktycznie miejsce, więc odbiorcy nie mieli powodów by podjąć działania w celu zabezpieczenia swoich danych. Tymczasem właśnie po to istnieje obowiązek informowania o naruszeniu osób, których dane dotyczą, by mogły one takie działania podjąć i odpowiednio zareagować.

Organ nadzorczy podkreślił też, że informacja na wewnętrznej platformie mogła dotrzeć tylko do obecnych pracowników banku, tymczasem naruszenie potencjalnie obejmowało też dane tych byłych. Zaszły więc wszelkie przesłanki do powiadomienia tych osób, zwłaszcza że incydent powodował dla nich wysokie ryzyko – dane z PUE ZUS można bowiem wykorzystać do zdobycia danych o stanie zdrowia, czy zaciągnięcia pożyczki w imieniu osoby, której dane dotyczą. Okolicznością dodatkowo obciążającą administratora było to, że w toku postępowania konsekwentnie podtrzymywał on, iż nie widzi potrzeby zawiadamiania o incydencie osób, których dane dotyczą.

DKN.5131.33.2021