Polonia: se il data breach comporta rischi elevati per gli interessati l’avviso sul portale non basta. Sanzionata una banca
Nonostante la risoluzione del rapporto di lavoro, un dipendente della banca aveva continuato ad avere l’abilitazione per l’accesso ai server dell’istituto, entrando cinque volte nella piattaforma e accedendo peraltro ai profili previdenziali dei suoi ex colleghi. Anche se da parte sua la banca aveva provveduto a notificare il data breach all’autorità per la protezione dei dati e ad avvisare i dipendenti della violazione della riservatezza sul portale, si limitava però a pubblicare un annuncio interno generico senza fare riferimento a un caso specifico, omettendo di segnalare gli effettivi rischi che correvano i dipendenti.
Inoltre, il messaggio pubblicato sulla piattaforma, era indirizzato solo a coloro che erano impiegati presso la banca al momento della notifica, e avrebbe quindi potuto lasciare all'oscuro molti interessati che nel frattempo erano andati in pensione o avevano cambiato lavoro.
Secondo l’autorità per la protezione dei dati polacca (UODO), il comportamento non impeccabile della Santander Bank Polska SA, costituiva una violazione della riservatezza dei dati ai sensi dell’art.34 del Gdpr che ha comportato contemporaneamente un rischio elevato per i diritti o le libertà degli interessati.
Ciò che è rilevante per l’UODO, non era se la persona non autorizzata fosse effettivamente venuta a conoscenza dei dati personali dei dipendenti della banca, ma il fatto che esistesse per loro un alto rischio di cui non erano stati messi al corrente.
Di conseguenza, data la portata della violazione, che riguardava anche dati sanitari e assenze per malattia, sussisteva un rischio elevato per i diritti o le libertà degli interessati, e il titolare del trattamento avrebbe dovuto comunicare violazione ai dipendenti, informandoli specificamente.
Con il provvedimento DKN.5131.33.2021, il Garante polacco ha quindi inflitto una sanzione amministrativa di 120.000 euro a Santander Bank Polska, ordinando alla banca di comunicare la violazione a tutti i dipendenti che avevano lavorato nel periodo in cui l'ex dipendente aveva avuto l’accesso non autorizzato, e fornendo dettagliate informazioni come previsto dall’art.34 par.2 del Regolamento UE 2016/679, e cioè descrivendo della natura della violazione dei dati, comunicando il nome e i dati di contatto del DPO per essere in grado di ottenere maggiori informazioni, e provvedere una descrizione delle possibili conseguenze del data breach con una descrizione delle misure adottate, comprese quelle volte a minimizzarne i possibili effetti negativi della violazione.