Wyciek danych
W postępowaniu zakończonym omawianą decyzją wyciek danych polegał na przesłaniu przez agenta ubezpieczeniowego polisy za pośrednictwem e-mail do niewłaściwego adresata. Polisa dotyczyła ubezpieczenia samochodu i znajdowały się na niej dane dwóch osób, takie jak: imiona, nazwiska, adresy zamieszkania, adresy korespondencyjne, numery PESEL, numery telefonów, adresy poczty elektronicznej, a także szczegóły dotyczące ubezpieczenia (przedmiot, zakres, płatności, cesja, dodatkowe zapisy w umowie). Dokument nie został w żaden sposób zaszyfrowany.
Towarzystwo ubezpieczeniowe wiedziało o tym, że niewłaściwa osoba otrzymała polisę ubezpieczeniową, ponieważ poinformował je o tym adresat e-maila od agenta ubezpieczeniowego. W związku z taką informacją, towarzystwo zwróciło się do niego o trwałe usunięcie wiadomości z poczty elektronicznej wraz z załącznikami do niej oraz przesłanie potwierdzenia dokonania tych czynności.
Towarzystwo nie poinformowało klientów, których dotyczyła polisa o tym, że ich dane zostały przekazane nieuprawnionej osobie. Uznało, że tego rodzaju zdarzenie nie stanowi naruszenia ochrony danych osobowych, które wymaga dokonania zgłoszenia Prezesowi UODO oraz poinformowania podmiotów danych o naruszeniu.
Przyczyny wszczęcia postępowania przez Prezesem UODO
Do Urzędu Ochrony Danych Osobowych wpłynęła informacja, o wystąpieniu opisanego wycieku danych, wobec czego Prezes UODO w pierwszej kolejności wysłał do towarzystwa ubezpieczeniowego pismo z wezwaniem do złożenia wyjaśnień w sprawie.
Wymiana korespondencji pomiędzy Prezesem UODO, a towarzystwem ubezpieczeniowym skończyła się formalnym wszczęciem postępowania administracyjnego przez Prezesa UODO. Mimo uwag i wskazówek, jakie w pismach kierowanych do towarzystwa ubezpieczeniowego przedstawiał Prezes UODO, towarzystwo stało na stanowisku, że wyciek danych spowodowany był działaniem klienta, który wskazał agentowi nieprawidłowy adres poczty elektronicznej do korespondencji, towarzystwo podjęło odpowiednie działania po otrzymaniu informacji o przesłaniu polisy nieuprawnionej osobie, wobec czego nie doszło do naruszenia skutkującego obowiązkiem dokonania zgłoszenia do Prezesa UODO.
Po formalnym wszczęciu postępowania przez Prezesa UODO, towarzystwo ubezpieczeniowe zgłosiło naruszenie ochrony danych osobowych i jednocześnie poinformowało o zawiadomieniu o naruszeniu osób, których dotyczył wyciek danych.
Naruszenie przepisów RODO
W ocenie Prezesa UODO: „fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych. Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych.”
Co więcej, tego rodzaju naruszenie, zdaniem organu nadzorczego, powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, tj. wystąpienia takich szkód jak na przykład kradzież lub sfałszowanie tożsamości, czy też straty finansowe.
Uzasadniając powyższe, Prezes UODO odniósł się do wytycznych Grupy Roboczej Art. 29 dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679.
Za działanie niewystarczające Prezes UODO uznał prośbę do nieuprawnionego adresata korespondencji mailowej o usunięcie tej korespondencji. W tym zakresie, jak wskazał organ nadzorczy, towarzystwo ubezpieczeniowe nie miało możliwości zweryfikowania, czy żądane działania zostały faktycznie podjęte. Jednak w pierwszej kolejności, prawidłową procedurą powinno być zweryfikowanie adresu e-mail wskazanego przez klienta oraz zaszyfrowanie przesyłanego dokumentu.
Błędna ocena wagi naruszenia przez towarzystwo ubezpieczeniowe, skutkowało niewykonaniem w terminie obowiązków związanych z zawiadomieniem organu nadzorczego o wystąpieniu naruszenia ochrony danych osobowych oraz zawiadomieniem podmiotów danych.
Z powyższych względów, Prezes UODO uznał także, że towarzystwo ubezpieczeniowe nie posiada właściwych środków organizacyjnych i technicznych mających na celu zminimalizowanie ryzyka naruszenia ochrony danych osobowych.
Uzasadnienie nałożenia kary
Nałożenie kary w wysokości 85.588 złotych za wyciek danych dwóch osób fizycznych Prezes UODO uzasadnił:
- znacznym i poważnym charakterem naruszenia,
- długim czasem trwanie naruszenia (5 miesięcy),
- umyślnym charakterem naruszenia (świadoma decyzja towarzystwa ubezpieczeniowego o niedokonaniu zgłoszenia naruszenia)
- niezadowalającą współpracą towarzystwa ubezpieczeniowego z organem nadzorczym,
- szerokim zakresem danych, których dotyczyło naruszenie.
Za okoliczności łagodzące Prezes UODO uznał:
- liczbę poszkodowanych osób (2),
- podjęte działania przez towarzystwo ubezpieczeniowe (prośba do niewłaściwego adresata korespondencji o jej usunięcie).
Przy ocenie wagi naruszenia ochrony danych osobowych często pod uwagę bierze się, jakiej ilości rekordów (wpisów/podmiotów danych) dotyczy dana sytuacja. W omawianej decyzji Prezes UODO zwraca uwagę, że nie ilość osób a zakres danych powinien stanowić tu kluczowe kryterium.
Tworząc procedury dotyczące ochrony danych osobowych administrator przyjmuje na siebie odpowiedzialność związaną z właściwą oceną przyjętych środków organizacyjnych, technicznych oraz sposobu postępowania, w przypadku wystąpienia zdarzeń skutkujących możliwością dostępu do danych przez nieuprawnione osoby. Jak wynika z decyzji wydawanych przez polski organ nadzorczy, do powyższych kwestie należy podchodzić z dużą ostrożnością i rozwagą. Kolejny raz bowiem mamy do czynienia z sytuacją, w której kontrolowany, uniknąłby kary gdyby dokonał zgłoszenia naruszenia, mimo, że w jego ocenia byłoby to działanie na wyrost. Jak nie raz wskazywał już Prezes UODO, w przypadku jakichkolwiek wątpliwości, właściwym działaniem będzie zawsze dokonanie zgłoszenia.