Ubezpieczyciel-administrator powinien przeprowadzić rzetelną analizę ryzyka

0
1002

Prawie 160 tys. zł – karę w takiej wysokości nałożył Urząd Ochrony Danych Osobowych na STU Ergo Hestia. Ubezpieczyciel został ukarany za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie o naruszeniu osoby, której dane dotyczą, do czego zobowiązał ją organ nadzorczy.

UODO został powiadomiony o naruszeniu przez jednego z pośredników ubezpieczeniowych. Doszło do niego wskutek wysłania do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającej imię i nazwisko, PESEL oraz informację o przedmiocie ubezpieczenia. Pośrednik, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO. Uznał on, że w efekcie zdarzenia może dojść do naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku ubezpieczycieli. Przeprowadzona przez UODO weryfikacja wykazała, że kilka zakładów jako administratorów danych dokonało zgłoszenia naruszenia ochrony danych. Za wyjątkiem STU Ergo Hestia.

Spółka przekazała Urzędowi, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia do prezesa UODO oraz zawiadomienia osoby, której danych dotyczy naruszenie. Oceny dokonano w oparciu o formularz opracowany przez zakład, a przeprowadzona przezeń analiza ryzyka budziła wątpliwości UODO. W ocenie organu, błędy, i nieprawidłowości w przeprowadzonej ocenie polegające na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia w nich istotnych czynników czy uwzględnieniu takich, które nie powinny mieć zastosowania wskazują, że analiza została przeprowadzona w sposób dowolny. Co więcej, nie została wykorzystana jako narzędzie służące pomocą w ocenie, czy należy dokonać zgłoszenia naruszenia oraz zawiadomić o nim, ale na potrzeby wykazania braku podlegania takim obowiązkom.

Spółka przedstawiła też oświadczenie złożone przez nieuprawnionego odbiorcę, według którego nie jest on w posiadaniu wysłanych dokumentów, oraz nieznana jest mu treść załączników. Według UODO, oświadczenie takie nie wyklucza wysokiego ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, jak i możliwości wystąpienia negatywnych konsekwencji w przyszłości.

Zdaniem Urzędu w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

W ocenie UODO zastosowana kara pieniężna będzie skuteczna i spełni swoją funkcję.

(AM, źródło: UODO)