BezpieczeństwoOchrona danych osobowych

Cyfrowe „klucze” do firmy: Lekcja od Santandera za pół miliona złotych

Opublikowano Patrycja Hładoń

Rozstanie z pracownikiem to nie tylko uścisk dłoni prezesa i zwrot służbowego laptopa. To przede wszystkim moment krytyczny dla bezpieczeństwa danych osobowych. Najnowszy wyrok Naczelnego Sądu Administracyjnego (NSA) w sprawie Santander Bank Polska S.A. to jasny sygnał: za błędy w procesie offboardingu płaci się rekordowe kary.

Wyobraźmy sobie scenariusz: pracownik odchodzi z firmy, oddaje sprzęt i klucze do biura. Relacja wydaje się zakończona. Jednak w świecie cyfrowym dostęp do systemów to „klucze”, o których często zapominamy. Przypadek Santandera, zakończony wyrokiem z 6 marca 2026 r., pokazuje, że brak jednego „ptaszka” na liście kontrolnej może kosztować fortunę.

PUE ZUS: Pół miliona złotych za „przeoczenie”

Incydent w banku wydawał się prostym niedopatrzeniem. Po rozwiązaniu umowy byłemu pracownikowi nie odebrano dostępu do Platformy Usług Elektronicznych ZUS (PUE ZUS). Skutek? Przez kolejne 8 miesięcy osoba ta miała stały wgląd w profil płatnika firmy.

Jak wykazało postępowanie, były pracownik logował się do systemu aż 5-krotnie. Co widział? Dane, które dla przestępców są „świętym Graalem”:

  • imiona i nazwiska oraz numery PESEL,
  • adresy zamieszkania,
  • dane o zdrowiu (informacje o zwolnieniach lekarskich), czyli dane szczególnej kategorii podlegające rygorystycznej ochronie.

Mit „zaufanego pracownika” obalony przez sąd

Bank próbował argumentować, że ryzyko naruszenia było niskie, ponieważ dostęp miała osoba „zaufana”. NSA kategorycznie odrzucił tę linię obrony. Sąd uznał, że:

  1. Liczy się możliwość, a nie fakt: Nie ma znaczenia, czy były pracownik wykorzystał dane w złym celu. Kluczowy jest sam fakt, że mógł to zrobić.
  2. Zakres danych definiuje ryzyko: Przy numerze PESEL i danych o zdrowiu ryzyko jest obiektywnie wysokie – mogą one posłużyć do kradzieży tożsamości, wyłudzeń kredytowych czy dyskryminacji.
  3. Ogłoszenie to nie powiadomienie: Bank zamiast poinformować każdą poszkodowaną osobę indywidualnie, zamieścił jedynie ogólny komunikat na wewnętrznym intranecie. NSA uznał to za rażące zaniedbanie, podtrzymując karę w wysokości 545 748 zł.

3 żelazne zasady bezpiecznego offboardingu

Czego ta sprawa uczy każdego Administratora Danych Osobowych (ADO)? Aby uniknąć losu Santandera, należy wdrożyć trzy fundamentalne zasady:

  1. Automatyzacja i kontrola systemów zewnętrznych: Proces odbierania uprawnień musi być rygorystyczny. PUE ZUS, portale bankowe czy e-Urząd często umykają uwadze działów IT – to błąd krytyczny.
  2. Bezpośrednia komunikacja w razie incydentu: Jeśli dojdzie do wycieku, informujemy poszkodowanych wprost i szczegółowo. Ukrywanie incydentu pod płaszczem „ogólnych szkoleń” to prosta droga do kary od UODO.
  3. Szczególny nadzór nad danymi wrażliwymi: Utrata numerów PESEL lub danych medycznych to w oczach sądu zawsze „wysokie ryzyko”.

Twoja polisa ubezpieczeniowa – checklista Offboardingu

Przygotowaliśmy wzorcową listę kontrolną bezpiecznego rozstania z pracownikiem, może pomóc ona Twojej organizacji uniknąć „cyfrowych duchów”.

1. Dostęp logiczny (Fundament IT)

  • Blokada konta w domenie: Wyłączenie konta głównego (AD/Google Workspace).
  • Cofnięcie uprawnień zewnętrznych: Wyrejestrowanie z PUE ZUS, portali bankowych i e-Urzędów.
  • Audyt aplikacji SaaS: Odcięcie od CRM (np. Salesforce), zarządzania projektami (Jira) i chmur (Azure/AWS).
  • VPN i certyfikaty: Unieważnienie dostępów zdalnych.

2. Bezpieczeństwo fizyczne

  • Zwrot aktywów: Laptop, smartfon, tokeny sprzętowe, pendrive’y.
  • Klucze i karty: Fizyczny zwrot kart dostępu, kluczy do biur i szaf z dokumentacją kadrową.

3. Compliance i prawo

  • Wpis w rejestrze upoważnień: Formalne cofnięcie upoważnienia do przetwarzania danych.
  • Przypomnienie o NDA: Pisemne potwierdzenie, że obowiązek zachowania poufności trwa po ustaniu zatrudnienia.

4. Higiena komunikacji

  • Autoresponder: Ustawienie informacji o nowej osobie kontaktowej (nie utrzymuj skrzynki aktywnej w nieskończoność).
  • Transfer własności plików: Przeniesienie kluczowych dokumentów z dysku osobistego na dysk zespołowy.

Wyrok NSA jasno wskazuje: to Administrator odpowiada za skuteczność odebrania dostępu, a nie osoba trzecia za to, że z tego dostępu skorzystała. Odpowiedzialność ADO kończy się dopiero wtedy, gdy ostatnie „cyfrowe drzwi” zostaną zamknięte.

A teraz odpowiedzcie sobie sami na pytanie czy Wasze procesy offboardingowe są odporne na kontrolę UODO?