Blisko 85,6 tys. zł – taką karę musi zapłacić TUiR Warta za naruszenie przepisów ogólnego rozporządzenia o ochronie danych. Firma nie zgłosiła prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych.
Sprawa rozpoczęła się w maju tego roku, kiedy do UODO wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych. Miało ono polegać na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla TUiR Warta, polisy do nieuprawnionego adresata.
Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, w związku z czym doszło do naruszenia poufności danych osób. Dlatego też UODO zwrócił się do zakładu o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych zobowiązującego do zawiadomienia Urzędu oraz osób, których dotyczy naruszenie.
Ubezpieczyciel potwierdził, że doszło do incydentu oraz że została dokonana wspomniana ocena. Na jej podstawie Warta uznała, iż naruszenie nie wymaga zawiadomienia UODO, gdyż powstało ono wskutek wysłania dokumentu na adres poczty elektronicznej wskazany przez samego klienta. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości oraz o informację zwrotną potwierdzającą jej usunięcie.
Pomimo pisma UODO zakład nadal nie zgłosił naruszenia ochrony danych osobowych oraz nie powiadomił o incydencie osób, których dotyczyło naruszenie. Urząd wszczął więc postępowanie administracyjne i dopiero w wyniku tego ubezpieczyciel zgłosił naruszenie oraz zawiadomił osoby, których ono dotyczyło. Organ uznał, że takie działanie spowodowało, iż czas trwania naruszenia był długi, co należy uznać za okoliczność obciążającą. Tym bardziej że od powzięcia informacji o naruszeniu do powiadomienia o nim UODO upłynęło pięć miesięcy.
W toku postępowania Urząd uznał, że fakt, iż do incydentu doszło w wyniku błędu klienta nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, administrator powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. Dlatego w celu ich minimalizacji powinien wprowadzić odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu czy też szyfrowanie przesyłanych w ten sposób dokumentów.
UODO ocenił, że zwrócenie się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji nie oznacza też niskiego ryzyka. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.
Prezes UODO, nakładając administracyjną karę pieniężną, wziął pod uwagę również okoliczności łagodzące – takie jak fakt, że naruszenie dotyczyło danych osobowych dwóch osób oraz że spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Jednocześnie podkreślił, że prośba nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji wykorzystania danych.
(AM, źródło: UODO)
