Wysyłka maila na błędny adres – kara za brak zgłoszenia naruszenia ochrony danych osobowych
12.02.2021
Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. (dalej: „Warta S.A.”) zostało przez Prezesa Urzędu Ochrony Danych Osobowych ukarane karą finansową w wysokości 85 588 zł za brak zgłoszenia naruszenia ochrony danych osobowych. Zdarzenie to jest o tyle ciekawe, że dotyczyło wysłania jednej wiadomości na adres e-mail wskazany błędnie przez samego klienta.
Zdarzenie, które finalnie zakończyło się karą dla spółki, polegało na tym, że agent ubezpieczeniowy, czyli podmiot przetwarzający dane na rzecz WARTA S.A., wysłał omyłkowo polisę ubezpieczeniową na błędny adres mailowy, więc zapoznała się z nią osoba nieuprawniona, która następnie zawiadomiła o tym zdarzeniu Urząd Ochrony Danych Osobowych.
UODO zwrócił się do Warty S.A. o wyjaśnienie, czy została wykonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych, polegającego na naruszeniu poufności danych. UODO wskazał także, jak można dokonać takiego zgłoszenia.
Warta S.A. udzieliła wyjaśnień, w których potwierdziła, że takie zdarzenie miało miejsce oraz dokonano jego analizy. W wyniku tej analizy uznano, że nie występuje konieczność zgłoszenia naruszenia do UODO. Spółka podkreśliła, że polisę wysłano na adres błędnie wskazany przez samego klienta, a osoba, która otrzymała polisę, sama poinformowała o tym spółkę. Dodatkowo spółka poprosiła adresata o trwałe usunięcie wiadomości.
W związku z otrzymaniem takiej odpowiedzi od Warty S.A. UODO wszczął postępowanie administracyjne. W wyniku tego postępowania Warta S.A. dokonała jednak zgłoszenia naruszenia oraz zawiadomiła osobę, której dane dotyczą.
Pomimo działań naprawczych spółki postępowanie zakończyło się nałożeniem kary finansowej. Prezes Urzędu Ochrony Danych Osobowych uznał, że minął zbyt długi czas między zdarzeniem a zgłoszeniem naruszenia do Urzędu, a okoliczność, że błędny adres mailowy był wskazany przez samego klienta, nie ma znaczenia dla oceny, czy doszło do naruszenia ochrony danych. Ponadto zdaniem Urzędu spółka nie może mieć pewności, że adresat wiadomości faktycznie usunął wszystkie otrzymane informacje.
Trzeba podkreślić, że kara nie została nałożona za wysłanie polisy na błędny adres, lecz za brak zgłoszenia naruszenia do UODO, które było wynikiem błędnej, zdaniem Urzędu, oceny wagi naruszenia ochrony danych.
W ocenie UODO wysłanie drogą mailową do niewłaściwego odbiorcy dokumentu, zawierającego m.in. imiona, nazwisko, adres zamieszkania, numer PESEL oraz informacje dotyczące przedmiotu ubezpieczenia (samochód osobowy), skutkuje wysokim stopniem ryzyka naruszenia praw i wolności osób fizycznych, zatem nie tylko należało powiadomić o naruszeniu UODO (art. 33 RODO) lecz także i samą osobę, której dane dotyczą (art. 34 RODO). Zdaniem Urzędu nie można było zastosować w tym przypadku koncepcji zaufanego odbiorcy, co pozwalałoby uznać niski stopień ryzyka. To, że osoba sama zwróciła się do spółki z informacją o otrzymanym maila, nie daje zdaniem UODO gwarancji, że osoba ta nie dokonała np. kopii dokumentów.
Zgodnie z sugestią UODO, przy przesyłaniu dokumentów zawierających istotne dane osobowe, jako dobrą praktykę warto również rozważyć wprowadzenia szyfrowania takich plików, aby w podobnych przypadkach zmniejszyć ryzyko zapoznania się z danymi przez osobę nieuprawnioną.
Podsumowując, nie da się ukryć, że podejście Urzędu Ochrony Danych Osobowych do oceny stopnia wagi naruszenia jest dość restrykcyjne. Mimo tego, że naruszenie dotyczyło danych dwóch osób a osoba, która otrzymała nieuprawniony dostęp do danych sama zgłosiła ten fakt do spółki oraz do UODO, w ocenie organu nadzorczego w takim przypadku miało miejsce wysokie ryzyko naruszenia praw i wolności osoby fizycznej. Administratorzy powinni mieć tę sprawę na uwadze przy dokonywaniu w przyszłości analiz podobnych przypadków.
Źródło:
https://uodo.gov.pl/pl/138/1801
Z tej samej kategorii
Kategorie
