Nie WARTO było… – o decyzji Prezesa UODO nałożonej na TUiR WARTA S.A.

Sprawa dotyczyła wysłania za pośrednictwem poczty elektronicznej przez agenta ubezpieczeniowego (procesora TUiR WARTA S.A.) polisy ubezpieczeniowej do osoby nieuprawnionej. Polisa zawierała m.in. dane osobowe w zakresie imienia i nazwiska oraz numer PESEL.

Prezes Urzędu został poinformowany o incydencie wyłącznie przez nieuprawnionego adresata, który był odbiorcą e-maila i który wszedł w posiadanie dokumentu polisy. Co ważne, wysłanie przez spółkę polisy na nieprawidłowy adres był spowodowane  podaniem takiego błędnego adresu e-mail przez samego klienta (właściciela polisy).

Spółka, po przeprowadzeniu stosownej analizy, uznała, że ze względu na błąd leżący po stronie klienta nie ma obowiązku powiadamiać o incydencie ani Prezesa UODO, ani Klienta, którego dotyczyło naruszenie.

Przypomnijmy, że zgodnie z art. 33 ust. 1 RODO:

„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”

Z kolei art. 34 ust. 1 RODO kreuje obowiązek zawiadamiania osoby, której dane dotyczą o dokonanym naruszeniu:

Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO: „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. 

Pomimo tego, że do naruszenia doszło faktycznie w wyniku błędu klienta, który podał nieprawidłowy adres e-mail, prezes UODO uznał, że nie może mieć to wpływu na zakwalifikowanie incydentu jako naruszenia ochrony danych osobowych w rozumieniu art. 33 RODO. Co więcej, podkreślił w decyzji, że: administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientem pocztę elektroniczną powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.”

Prezes UODO uznał także, że spółka miała obowiązek nie tylko poinformować organ o stwierdzonym naruszeniu w terminie wskazanym w przepisach, ale także poinformować osobę, której dane zostały udostępnione osobie nieuprawnionej. Oznacza to, że organ przyjął, że to naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej.  W przedmiotowej sprawie na okoliczność zaistnienia naruszenia i jego wpływu nie miał znaczenia fakt, że spółka zwróciła się z prośbą do niewłaściwego adresata korespondencji o jej usunięcie. W ocenie Prezesa UODO  tym wypadku nie ma pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Niniejsza decyzja jasno wskazuje, że incydenty takie jak jednorazowe wysłanie maila z danymi osobowymi nieprzeznaczonymi dla konkretnego adresata należy traktować jako naruszenie ochrony danych osobowych podlegające obowiązkowemu zgłoszeniu do Prezesa UODO. Co ważne, w wielu przypadkach – zgodnie ze stanowiskiem UODO – takie naruszenie będzie powodowało wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.  Każdorazowo jednak przed dokonaniem takich notyfikacji, administrator danych powinien przeprowadzić stosowną analizę, a następnie przygotować plan naprawczy po stwierdzonym incydencie.

Link do decyzji: https://uodo.gov.pl/decyzje/DKN.5131.5.2020