85 588 zł kary dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A. za brak zgłoszenia naruszenia ochrony danych osobowych do UODO
W maju 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja o naruszeniu ochrony danych osobowych, polegającym na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego (będącego podmiotem przetwarzającym) polisy do niewłaściwego adresata. To właśnie ta osoba zgłosiła incydent do UODO. Tak na marginesie – błędy w korespondencji to powszechne źródło naruszeń – pisaliśmy o tym tutaj. W wyniku ujawnienia dokumentu, osoba nieuprawniona otrzymała dane innych osób dotyczące imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia.
Co należy podkreślić, naruszenie powstało w wyniku błędu popełnionego przez osobę, która miała zostać objęta ubezpieczeniem – podała ona błędny adres e-mail.
Niemniej jednak zdaniem organu (z czym trudno się nie zgodzić) „fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość zagrożeń związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail”. Ze szczegółami decyzji organu można zapoznać się tutaj.
Co więcej, zgodnie z zasadą „prawidłowości” danych (art. 5 ust. 1 lit. d RODO), administrator ma w obowiązku wdrożyć mechanizmy mające na celu zapewnienie poprawności danych lub wymagać ich stosowania od podmiotów przetwarzających dane w jego mieniu. Mógłby np. wymagać od klientów wcześniejszego złożenia dyspozycji drogą mailową lub wprowadzić do procesu konieczność potwierdzania adresów e-mail przed wysyłką ważnych dokumentów.
Z drugiej strony, gdyby załącznik wysłany do niewłaściwego odbiorcy był zaszyfrowany to ryzyko naruszenia praw lub wolności ubezpieczonego byłoby niewielkie, przy założeniu oczywiście, że hasło zostałoby przekazane innym kanałem komunikacji.
Z decyzji UODO należy wyciągnąć następujące wnioski:
- Jest to kolejne zdarzenie, które potwierdza potrzebę sprawowania większej kontroli nad tym, w jaki sposób przetwarzane są dane osobowe przez podmioty przetwarzające;
- Nie należy zapominać o realizacji zasady „prawidłowości” danych;
- Uzyskiwanie od niewłaściwego adresata potwierdzenia usunięcia korespondencji nie eliminuje całkowicie ryzyka naruszenia praw i wolności (niemniej jednak w pewnym stopniu minimalizuje ryzyko oraz jest czynnikiem łagodzącym, branym pod uwagę przy obliczaniu wysokości administracyjnej kary pieniężnej);
- Lepiej nie doprowadzać do sytuacji, w której UODO dowiaduje się o naruszeniu ochrony danych osobowych w inny sposób niż poprzez zgłoszenie administratora.