RODO Jak stracić 85 tys. przez nieuwagę klienta

Ostatnio można zaobserwować zwiększoną aktywność UODO, trudno nie oprzeć się wrażeniu, że organ nadzorczy działa ze zwiększoną siłą. Przejawem może być ilość kar nałożona przez organ tylko w grudniu 2020 r. Jedna z nich jest bardzo kontrowersyjna i chciałbym ją omówić w niniejszym artykule, bo dobitnie pokazuje zakres działania UODO.

Kara nałożona na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. za wysłanie polisy ubezpieczenia na adres e-mail podany przez klienta, który… okazał się błędny.

Naruszenie ochrony danych polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, procesora Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczenia do nieuprawnionego adresata, mimo że wysłano ją na adres e-mail wskazany przez klienta.
W skutek czego doszło do ujawnienia poufnych danych: imion, nazwisk, adresów zamieszkania, korespondencyjnych, numeru PESEL, numeru telefonu, adresu poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia, zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

W konsekwencji UODO nałożył na spółkę karę pieniężna w wysokości dokładnie 85 588zł za naruszenie dwóch przepisów; tj. WARTA jako administrator nie dochowała obowiązków związanych z jednej strony ze zgłoszeniem naruszenia ochrony danych, a z drugiej – zaniedbała obowiązek zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

Informacja o zdarzeniu trafiła do UODO od nieuprawnionego adresata (!!), który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów zawierających ww. dane osobowe, czyli właściciela skrzynki e-mail, która omyłkowo została podana przez klienta przy zawieraniu umowy ubezpieczenia.

Oczywiście UODO zwrócił się do spółki o wyjaśnienie. Spółka w odpowiedzi wskazała brak wysokiego prawdopodobieństwa negatywnych skutków dla osób, których dane dotyczą, uzasadniając to w ten sposób:
- po pierwsze: klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej;
- po drugie - nieuprawniony odbiorca sam zwrócił się do spółki, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał.

Spółka skierowała do nieuprawnionego odbiorcy prośby o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.
Prezes UODO ponownie wezwał spółkę do wykonania analizy ryzyka naruszenia praw i wolności osób fizycznych.

Spółka ponownie zaznaczyła, że w jej ocenie nie wystąpiło wysokie ryzyko naruszenia praw i wolności osób. Jednak UODO wszczął postępowanie administracyjne i nałożył na TUiR WARTA S.A. administracyjną karę pieniężną w wysokości 85 588 zł.
Z naruszeniem mamy do czynienia zarówno, gdy jest umyślne, jak i nieumyślne.

Administrator dopuszczający możliwość wykorzystania poczty elektronicznej do komunikacji z klientem powinien mieć świadomość ryzyka związanego np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji musi przedsięwziąć odpowiednie środki organizacyjne i techniczne.
PESEL wraz z imionami i nazwiskami, adresami zamieszkania, numerami telefonów oraz adresami poczty elektronicznej oznacza wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
W wytycznych RODO wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.

Znane są okoliczności mające wpływ na wysokość kary.
- długi czas trwania naruszenia (5 miesięcy),
- umyślny charakter naruszenia, spółka świadomie podjęła decyzje, aby nie zawiadamiać UODO o naruszeniu,
- znaczną wagę naruszenia,
- niezadowalającą współpracę UODO i spółki,
- brak wdrożonych lub nieprawidłowych środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych,
- sposób, w jaki UODO dowiedział się o naruszeniu,
Jak się można domyśleć, to nie koniec, spółka odwołała się do sądu administracyjnego, czekamy więc na ciąg dalszy sprawy.

Artur Majchrzycki – Inspektor Ochrony Danych, jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem przepisów ochrony danych osobowych. Posiada wieloletnie doświadczenie związane z zabezpieczeniami informatycznymi w ochronie danych. Audytor Wewnętrzny Systemów Zarządzania Bezpieczeństwem Informacji zgodnego z ISO/IEC 27001.
Kontakt do autora:
tel. 501 15 11 15
email: a.majchrzycki@moment24.pl