Koniec 2020 roku obfitował w liczne kary nałożone przez Prezesa Urzędu Ochrony Danych Osobowych. Niedawno pisaliśmy na naszym blogu, o karze za brak regularnych i kompleksowych testów zabezpieczeń środków technicznych.

https://concepcion.pl/rodo-incydentalnych-przegladow-zabezpieczen-nie-mozna-uznac-za-regularne-testowanie-srodkow-technicznych/

Jak wskazaliśmy w poprzednim naszym wpisie z zakresu RODO, wydawane przez PUODO decyzje stanowią często wskazówki dotyczące tego, w jaki sposób należy wdrażać i stosować przepisy w zakresie RODO. Z najnowszej decyzji możemy dowiedzieć się na co zwracać uwagę w przypadku wystąpienia w naszym przedsiębiorstwie naruszenia przepisów w zakresie ochrony danych osobowych.

Najnowsza decyzja PUODO

Do Urzędu Ochrony Danych Osobowych (UODO) w maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata. Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy).

Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.

Organ nadzorczy zwrócił się do Spółki o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia UODO oraz osób, których dotyczy naruszenie.

Spółka potwierdziła, że doszło do incydentu związanego z naruszeniem ochrony danych osobowych oraz, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. To właśnie na jej podstawie ukarana spółka uznała, iż zaistniałe naruszenie nie wymaga zawiadomienia UODO. Spółka uznała, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazał sam klient. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.

Za brak zgłoszenia w terminie naruszenia ochrony danych osobowych oraz niepoinformowanie osoby, której naruszenie dotyczy PUODO nałożył na spółkę karę pieniężną w wysokości 85 588 zł.

Wnioski z decyzji

Z decyzji wydanej wobec Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., można wyciągnąć kilka wniosków:

-Jeżeli PUODO zwraca się z prośbą o złożenie wyjaśnień w sprawie niezgłoszenia naruszenia ochrony danych osobowych, wraz ze złożeniem wyjaśnień należy przesłać również zgłoszenie, w którym należy wskazać naruszenie ochrony danych osobowych oraz powiadomić o incydencie podmioty, których dotyczyło naruszenie.

-Zwlekanie w przypadku niezgłoszenia naruszenia ochrony danych osobowych oznacza, że trwania naruszenia był długi, co w ocenie PUODO należy uznać za okoliczność obciążającą.

-Fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzić odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.

-Fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji nie może stanowić o tym, ze ryzyko dla praw i wolności osób, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

-Prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.