Omyłkowe udostępnienie danych osobowych w e-mailu
Prezes UODO we wrześniu 2020 r. otrzymał zgłoszenie naruszenia ochrony danych osobowych dokonane przez X Sp. z o.o. (dalej: X). Naruszenie polegało na wysłaniu pocztą elektroniczną do niewłaściwego odbiorcy przez X (będącego podmiotem przetwarzającym w związku z zawartą umową agencyjną dla Spółki) analizy potrzeb ubezpieczeniowych zawierającej dane osobowe w postaci imienia i nazwiska, których administratorem był X, oraz ofertę ubezpieczenia zawierającą następujące dane osobowe: imię, nazwisko, nr PESEL, miejscowość, kod pocztowy, informację o przedmiocie ubezpieczenia (dom), informację o produkcie ubezpieczeniowym, sumę ubezpieczenia/sumę gwarancyjną, których administratorem danych jest Spółka.
W zgłoszeniu naruszenia ochrony danych osobowych X poinformował, że choć jest administratorem jedynie w zakresie imienia i nazwiska, to ze względu na pozostałe dane, które również zostały ujawnione, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. W wyniku pomyłki pracownik X do wiadomości e-mail wpisał błędny adres, wobec czego korespondencja została przekazana do osoby trzeciej. Naruszenie dotyczyło obecnego klienta X poszukującego ubezpieczenia mieszkania. Z przesłanego zgłoszenia naruszenia ochrony danych osobowych wynikało również, że oprócz dokumentów zawierających dane osobowe, których administratorem danych był X, do przesłanej wiadomości dołączono inne, zawierające dane osobowe, dokumenty w postaci ofert i kalkulacji.
Prezes UODO zwrócił się do X pismem o udzielenie pisemnych wyjaśnień i wskazanie podmiotów uczestniczących w przetwarzaniu danych, których naruszenie dotyczy oraz dowodów potwierdzających, że podmioty te zostały zawiadomione o naruszeniu. W odpowiedzi X poinformował, że podmiotami uczestniczącymi w przetwarzaniu danych, których dotyczyło zgłoszenie, były: Y S.A., Z S.A. oraz Spółka. Przeprowadzona przez Prezesa UODO, w oparciu o powyższą informację, weryfikacja wykazała, że w związku z naruszeniem ochrony danych osobowych, do którego doszło we wrześniu 2020 r., polegającym na wysłaniu przez X korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy, zgłoszenia naruszenia ochrony danych osobowych nie dokonała Spółka.
Wyjaśnienia Spółki
W związku z powyższym Prezes UODO, zwrócił się do Spółki o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.
W odpowiedzi na powyższe pismo Spółka potwierdziła, że naruszenie ochrony danych osobowych, polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy, miało miejsce. Wskazała, że pośrednik ubezpieczeniowy X, który przetwarza dane osobowe w imieniu i na rzecz Spółki, na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych, poinformował Spółkę o naruszeniu. Do naruszenia doszło w wyniku wpisania błędnego adresu e-mail, przez co dokument zawierający dane osobowe został wysłany do niewłaściwego odbiorcy. Dalej w piśmie Spółka wyjaśniła, że w ww. dokumencie znajdowały się dane osobowe klienta Spółki.
Ponadto Spółka wskazała, że zwróciła się do podmiotu przetwarzającego X o przedstawienie dowodu/potwierdzenia usunięcia omyłkowo przesłanej korespondencji/danych osobowych przez osobę nieuprawnioną. W odpowiedzi podmiot przetwarzający (X) przesłał wskazane oświadczenie. Wobec powyższego Spółka do pisma stanowiącego odpowiedź na wezwanie organu nadzorczego, załączyła oświadczenie niewłaściwego odbiorcy. Z oświadczenia tego wynika, że niewłaściwy odbiorca wykasował wiadomości, które zostały mu wysłane przez X, i nie jest w ich posiadaniu, oraz oświadczył, że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Oświadczenie zostało złożone na gotowym formularzu, w którym oświadczający wpisał następujące dane: swoje imię i nazwisko, dzień oraz godzinę, w których otrzymał wiadomość, miejscowość oraz datę złożenia oświadczenia. Oświadczenie zostało opatrzone własnoręcznym podpisem. W dolnym prawym rogu formularza oświadczenia znajduje się adnotacja „X”, natomiast data złożenia oświadczenia posiada widoczne ślady poprawiania.
Stanowisko Prezesa UODO
Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, Prezes UODO wszczął wobec Spółki postępowanie administracyjne.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, Spółka przesłała dodatkowe wyjaśnienia. Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes UODO zważył co następuje:
- Spółka nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu zgodnie z art. 33 ust. 1 RODO oraz
- nie zawiadomiła bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 RODO, co oznacza naruszenie przez Spółkę tych przepisów.
Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO, stosownie do treści art. 83 ust. 2 lit. a RODO – art. 83 ust. 2 lit. k RODO, wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej.
Stwierdzone w niniejszej sprawie naruszenie polegające na udostępnieniu osobie nieuprawnionej danych osobowych w postaci: numeru PESEL wraz z imieniem i nazwiskiem, miejscowością, kodem pocztowym oraz danych dotyczących sytuacji finansowej/majątkowej podmiotu danych w postaci: okresu ubezpieczenia, przedmiotu ubezpieczenia (dom), produktu ubezpieczeniowego, sumie ubezpieczenia/sumie gwarancyjnej w kwocie stosownej do wybranego wariantu oraz wysokości składki odpowiedniej do wybranego wariantu ubezpieczenia, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.
Naruszenie obowiązku powiadomienia
Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilka miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętych naruszeniem mogło się zrealizować, a czemu osoba te nie mogła przeciwdziałać ze względu na niewywiązanie się przez Spółkę z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia jej o naruszeniu.
Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od podmiotu przetwarzającego oraz skierowanego do niej pisma Prezesa UODO informującego o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji, o tym w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą. Takie zaniechanie w tym zakresie, pomimo obowiązku działania ,,bez zbędnej zwłoki”, sprawiło, że osobie fizycznej uniemożliwiono możliwie najszybsze podjęcie działań.
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pismo Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji, o tym w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Spółkę nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazanie takiej informacji Prezesowi UODO należy uznać za obciążającą tego administratora.
Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary. Po pierwsze, naruszenie dotyczyło danych osobowych tylko jednej osoby. Taka liczba osób dotkniętych naruszeniem, szczególnie wobec faktu, że Spółka – w związku z ze skalą i zakresem swojej działalności – przetwarza dane osobowe bardzo dużej liczby klientów (osób ubezpieczonych i ubezpieczających), należy uznać za niewielką, co niewątpliwie stanowi okoliczność łagodzącą w niniejszej sprawie.
Po drugie, Spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Takie działanie Spółki zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne z gwarancją faktycznego usunięcia przez osobę nieuprawnioną danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.
Prezes UODO nie tylko postanowił nałożyć na Spółkę karę pieniężną, ale również nakazał Spółce zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 RODO.
Kara ma przede wszystkim zmobilizować Spółkę do realizacji obowiązków z zakresu ochrony danych osobowych, a w szczególności w zakresie zgłaszania naruszeń ochrony danych osobowych.