Naczelny Sąd Administracyjny 6 marca 2026 r. oddalił skargę kasacyjną Santander Bank Polska S.A. i w całości podtrzymał wcześniejsze rozstrzygnięcia korzystne dla Prezesa UODO. Oznacza to, że ostatecznie utrzymana została zarówno kara w wysokości 545 748 zł, jak i obowiązek poinformowania osób, których dane zostały objęte naruszeniem. Sprawa dotyczyła braku właściwego zawiadomienia pracowników o incydencie bezpieczeństwa związanym z nieuprawnionym dostępem do ich danych przez byłego pracownika banku.
To ważny wyrok, bo pokazuje bardzo praktyczną rzecz: przy naruszeniu ochrony danych nie wystarczy uznać wewnętrznie, że „nic groźnego się nie stało”, ani opublikować ogólnego komunikatu przypominającego zasady bezpieczeństwa. Jeżeli istnieje wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek powiadomić te osoby wprost, jasno i bez zbędnej zwłoki. Taki właśnie obowiązek wynika z art. 34 ust. 1 RODO, a NSA potwierdził, że w tej sprawie został on naruszony.
Spis treści
Na czym polegał incydent
Cała sprawa zaczęła się od tego, że byłemu pracownikowi Santander Bank Polska nie odebrano po ustaniu zatrudnienia dostępu do Platformy Usług Elektronicznych ZUS, czyli PUE ZUS. W efekcie nadal mógł on logować się do profilu płatnika banku i uzyskiwać dostęp do danych innych pracowników. Późniejsze ustalenia wykazały, że po zakończeniu stosunku pracy logował się do tej platformy jeszcze pięciokrotnie na przestrzeni około ośmiu miesięcy.
Nie chodziło przy tym o dane błahe czy techniczne. Zakres potencjalnie dostępnych informacji obejmował imiona i nazwiska, numery PESEL, adresy zamieszkania lub pobytu, a także informacje o zwolnieniach lekarskich. Ta ostatnia kategoria ma szczególne znaczenie, ponieważ informacje o zwolnieniach lekarskich mogą ujawniać dane dotyczące zdrowia, a więc dane szczególnej kategorii, objęte podwyższonym standardem ochrony.
Dlaczego UODO uznał sprawę za poważną
Po otrzymaniu zgłoszenia Prezes UODO uznał, że doszło do naruszenia poufności danych osobowych. To istotne, bo w tego rodzaju sprawach nie bada się wyłącznie tego, czy ktoś „na pewno przeczytał” konkretne dane albo faktycznie je wykorzystał. Już sam nieuprawniony dostęp lub możliwość zapoznania się z danymi może oznaczać naruszenie bezpieczeństwa. W tej sprawie organ przyjął, że skala i charakter danych powodowały wysokie ryzyko dla praw lub wolności osób, których dane dotyczyły.
To właśnie z tego powodu Prezes UODO nakazał bankowi zawiadomienie wszystkich osób objętych naruszeniem. Chodziło nie tylko o przekazanie suchej informacji, że „doszło do incydentu”, ale także o wyjaśnienie jego charakteru, wskazanie możliwych konsekwencji oraz opisanie środków, które pozwalają ograniczyć negatywne skutki. Organ oczekiwał więc komunikatu realnie użytecznego dla pracowników, a nie jedynie formalnego działania na potrzeby dokumentacji zgodności.
Jak bronił się bank
Santander Bank Polska przyjął inną ocenę sprawy. Uznał, że incydent został zgłoszony do UODO raczej ostrożnościowo, natomiast nie powodował wysokiego ryzyka dla praw lub wolności pracowników. Bank argumentował też, że dostęp do danych miała osoba „zaufana”, czyli były pracownik, a nie przypadkowy cyberprzestępca czy nieznany podmiot zewnętrzny. W jego ocenie miało to przemawiać przeciwko obowiązkowi indywidualnego zawiadamiania osób, których dane dotyczyły.
Zamiast bezpośrednio poinformować wszystkich pracowników, bank opublikował na wewnętrznej platformie komunikacyjnej ogólny komunikat przypominający zasady przetwarzania danych osobowych. Problem polegał na tym, że z treści tej informacji nie wynikało jasno, że doszło do konkretnego incydentu dotyczącego danych pracowników banku. Był to raczej materiał o charakterze ogólnym niż rzeczywiste zawiadomienie o naruszeniu.
Dlaczego sądy nie zgodziły się z tą argumentacją
Zarówno Prezes UODO, jak i później WSA oraz NSA uznały, że stanowisko banku było błędne. Sądy przyjęły, że w tej sprawie nie ma decydującego znaczenia to, czy osoba nieuprawniona rzeczywiście wykorzystała dane albo czy faktycznie się z nimi zapoznała. Kluczowe jest to, że miała taką możliwość. A skoro zakres danych obejmował także PESEL, adresy i informacje o zwolnieniach lekarskich, to ryzyko dla osób, których dane dotyczyły, należało ocenić jako wysokie.
To bardzo ważna wskazówka praktyczna. W sprawach dotyczących naruszeń danych osobowych punkt ciężkości często nie leży na udowodnieniu faktycznego wykorzystania danych, lecz na ocenie samego ryzyka. RODO działa bowiem prewencyjnie. Ma umożliwić osobom, których dane dotyczą, podjęcie działań ochronnych zanim dojdzie do dalszych szkód, a nie dopiero wtedy, gdy szkoda jest już pewna i udowodniona.
Dlaczego samo ogólne ogłoszenie nie wystarczyło
W tej sprawie szczególnie istotne było to, że bank nie przekazał pracownikom informacji w sposób odpowiadający celowi art. 34 RODO. Prezes UODO wskazał, że ogólny komunikat na platformie wewnętrznej nie informował o tym, że incydent rzeczywiście miał miejsce. Odbiorca takiego komunikatu nie miał więc podstaw, by uznać, że powinien zachować szczególną ostrożność, zweryfikować swoje dane, monitorować swoją sytuację lub podjąć inne działania ochronne.
To sedno obowiązku zawiadomienia. Nie chodzi o samo „odhaczenie” obowiązku informacyjnego, lecz o realne umożliwienie osobie podjęcia reakcji. Jeżeli ktoś nie wie, że jego dane mogły zostać ujawnione albo że inna osoba mogła mieć do nich dostęp, to nie ma szansy odpowiednio się zabezpieczyć. Sąd potwierdził więc, że informowanie o naruszeniu ma sens praktyczny i ochronny, a nie wyłącznie formalny.
Problem był szerszy niż tylko obecni pracownicy
Dodatkowym problemem było to, że komunikat zamieszczono na wewnętrznej platformie banku. Taki kanał komunikacji co do zasady dociera tylko do aktualnych pracowników. Tymczasem naruszenie mogło dotyczyć również byłych pracowników, których dane znajdowały się w systemie w okresie objętym incydentem. To oznaczało, że część osób w ogóle nie miała szansy dowiedzieć się o naruszeniu.
Z perspektywy zgodności z RODO to bardzo istotna lekcja. Administrator powinien nie tylko przekazać informację, ale też dobrać taki sposób komunikacji, który rzeczywiście pozwala dotrzeć do wszystkich osób objętych naruszeniem. Jeżeli naruszenie obejmuje również byłych pracowników, kontrahentów albo klientów, wewnętrzny intranet czy ogłoszenie firmowe z natury rzeczy nie będzie wystarczające.
Jakie ryzyka widział organ nadzorczy
Prezes UODO wskazywał, że dane dostępne przez PUE ZUS mogą posłużyć nie tylko do poznania informacji o stanie zdrowia, ale także do innych nadużyć, w tym do podszywania się pod daną osobę czy prób wyłudzeń. W praktyce zestaw obejmujący imię, nazwisko, PESEL i adres jest danymi o dużej wartości z punktu widzenia potencjalnych oszustw. Jeżeli dodatkowo dochodzą do tego informacje związane ze zwolnieniami lekarskimi, ciężar takiego naruszenia rośnie jeszcze bardziej.
Dlatego organ uznał, że osoby objęte incydentem powinny dostać jasną informację o możliwych konsekwencjach i o tym, jak mogą ograniczyć ryzyko. Taki komunikat może skłonić do wzmożonej ostrożności, monitorowania prób wyłudzeń, czujności wobec podejrzanych kontaktów czy sprawdzania, czy ktoś nie próbuje wykorzystać ich danych. Właśnie ten praktyczny wymiar ochrony danych mocno wybrzmiał w całej sprawie.
Co ten wyrok oznacza dla administratorów danych
Wyrok NSA jest mocnym przypomnieniem, że naruszenie danych osobowych nie kończy się na zgłoszeniu incydentu do UODO. To tylko jeden z elementów obowiązków administratora. Drugi, często trudniejszy w praktyce, dotyczy właściwej oceny ryzyka dla osób fizycznych i podjęcia decyzji, czy trzeba je indywidualnie zawiadomić. W tej sprawie bank uznał, że nie ma takiej potrzeby, ale organ i sądy oceniły sytuację inaczej.
Orzeczenie pokazuje też, że zbyt optymistyczna samoocena administratora może okazać się kosztowna. Jeżeli administrator bagatelizuje ryzyko, opiera się na założeniu, że „odbiorca był zaufany”, albo zastępuje realne zawiadomienie komunikatem o ogólnym charakterze, naraża się nie tylko na nakazy organu, ale również na karę finansową. W tej sprawie sądy potwierdziły, że właśnie tak było.
Najważniejszy wniosek z tej sprawy
Najważniejszy wniosek jest prosty: przy naruszeniu ochrony danych osobowych liczy się nie tylko to, co administrator myśli o incydencie, ale to, jakie obiektywnie ryzyko powstało po stronie osób, których dane dotyczą. Jeżeli to ryzyko jest wysokie, osoby te muszą zostać o naruszeniu poinformowane w sposób konkretny, zrozumiały i użyteczny. Ogólny komunikat, wewnętrzna notatka czy „przypomnienie zasad” nie zastąpią zawiadomienia przewidzianego w art. 34 RODO.
Sprawa Santander Bank Polska dobrze pokazuje też, że dane pracownicze wymagają takiej samej realnej ochrony jak dane klientów. Administrator nie może zakładać, że skoro naruszenie dotyczy relacji wewnętrznej albo byłego pracownika, to ryzyko automatycznie jest mniejsze. Dla organu i sądu liczy się przede wszystkim to, do jakich danych mogła uzyskać dostęp osoba nieuprawniona i jakie skutki może to wywołać dla konkretnych osób.
Podsumowanie
NSA 6 marca 2026 r. ostatecznie potwierdził prawidłowość decyzji Prezesa UODO wobec Santander Bank Polska S.A. Sąd uznał, że bank naruszył art. 34 ust. 1 RODO, bo nie powiadomił właściwie osób, których dane objęło naruszenie, mimo że istniało wysokie ryzyko dla ich praw lub wolności. Bez znaczenia okazał się argument, że dostęp do danych miała osoba „zaufana”. W ocenie sądu wystarczyło już samo ryzyko zapoznania się z danymi, a zakres tych danych był na tyle wrażliwy, że pracownicy powinni zostać poinformowani wprost i bez zbędnej zwłoki.
