Den polska dataskyddsmyndigheten Urzędu Ochrony Danych Osobowych (UODO) har bötfällt Santander Bank Polska S.A. med 117 000 euro för överträdelse av artikel 34.1 dataskyddsförordningen (GDPR).
Av beslutet framgår att Santander Bank inte underrättat de registrerade om ett inträffat dataintrång efter att en tidigare anställd på banken fått obehörig tillgång till en databas för elektroniska tjänster. Detta gjorde det bland annat möjligt för den anställde att få tillgång till många Santanderkunders uppgifter. På grund av den höga risken för de registrerades uppgifter skulle Santander Bank ha informerat de registrerade om dataintrånget. Santander Bank avstod dock medvetet från att göra detta och fortsatte att uppge att banken inte hade för avsikt att uppfylla denna skyldighet i framtiden.
UODO konstaterade att personuppgiftsincidenten sannolikt riskerat att leda till en hög risk för de registrerade, eftersom de registrerade inte haft möjlighet att vidta lämpliga åtgärder för att skydda sina rättigheter. Enligt UODO har Santander Bank därmed agerat i strid med artikel 34.1 GDPR.