Kara za brak zgłoszenia naruszenia ochrony danych osobowych do UODO bez zbędnej zwłoki.

Ponad 85 000 zł kary za niezgłoszenie naruszenia ochrony danych osobowych do UODO.

Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. karę w wysokości 85 588 zł. Decyzja PUODO wzbudza wiele kontrowersji i jest szeroko komentowana z kilku powodów.

Przede wszystkim sprawa dotyczy ujawnienia danych osobowych z polisy ubezpieczeniowej. Dokument zawierał m.in. imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dotyczące przedmiotu ubezpieczenia – samochodu osobowego. Dane o których mowa powyżej dotyczyły dwóch osób fizycznych. Incydent polegał na tym, że dokument polisy został wysłany pod niewłaściwy adres e-mail (ale uwaga!) wskazany przez klienta.

Prezes Urzędu Ochrony Danych Osobowych został poinformowany o sprawie przez osobę do której faktycznie trafił dokument polisy.

Po tym kiedy PUODO zwrócił się do ubezpieczyciela o wyjaśnienie, ten ostatni stwierdził, że faktycznie doszło do incydentu, jednak na podstawie własnej analizy pod kątem ryzyka naruszenia praw i wolności osób fizycznych, nie miał podstaw do dokonywania zgłoszenia naruszenia do PUODO. Urząd podkreślił, że również korespondencja PUODO z ubezpieczycielem, nie spowodowała dokonania przez niego zgłoszenia, a co za tym idzie koniecznym było nałożenie kary.

Dlaczego decyzja jest kontrowersyjna?

Przede wszystkim wśród danych osobowych nie znajdowały się dane wrażliwe. Do tych należą w zgodzie z art. 9 RODO:

  • pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne,
  • dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej,
  • dane dotyczące zdrowia,
  • dane dotyczące seksualności lub orientacji seksualnej.

Numer PESEL mimo pewnej sensytywności tego typu informacji, nie jest daną wrażliwą. Nie chce obniżać rangi incydentu ale trzeba pamiętać, że numery PESEL członków zarządu spółek, są powszechnie dostępne chociażby w publicznym rejestrze KRS. Ponadto nie można przejść obojętnie nad faktem, że do samego naruszenia doszło z powodu podania przez klienta nieprawidłowego adresu e-mail, a więc czegoś na co teoretycznie ubezpieczyciel nie miał żadnego wpływu. Jak bowiem zweryfikować, czy podawany przez klienta adres jest poprawny?

Tutaj naturalnie trzeba podkreślić, że kara dotyczy nie samego incydentu i jego wystąpienia, ale faktu braku zgłoszenia wspomnianego do PUODO.

Jakie wnioski można wyciągnąć z tej sytuacji?

Nie możemy ufać klientom. Za każdym razem kiedy ktoś poda nam adres e-mail, trzeba założyć, że mógł się pomylić. To z kolei sugeruje, aby wysyłaną na podany nam wcześniej adres e-mail dokumentację, dodatkowo zabezpieczać np. w plikach zabezpieczonych hasłem z jednoczesnym przekazaniem hasła innym kanałem komunikacji np. SMS. Szczególnie warto zwrócić uwagę na te dokumenty, które zawierają numery PESEL, bo jak widać w tej materii, Prezes Urzędu Ochrony Danych Osobowych jest wyjątkowo wrażliwy.

Jeżeli już dojdzie do podobnego rodzaju incydentu, należy go bardzo dokładnie przeanalizować pod kątem naruszenia praw i wolności osób których dane dotyczą. Potem w razie potrzeby, dokonać zgłoszenia do PUODO, w terminie 72 godzin, od momentu w którym dowiedzieliśmy się o wystąpieniu jego wystąpieniu.

Mam wrażenie, że po tej decyzji PUODO liczba zgłoszeń podobnych incydentów wzrośnie dość mocno.

Decyzja może zostać zaskarżona do Wojewódzkiego Sądu Administracyjnego, na co w mojej opinii ubezpieczyciel powinien się zdecydować.

Jakub Szajdziński
Partner Zarządzający
ENSIS Kancelaria Prawna
Cioczek & Szajdziński Sp.j.

Dołącz do naszej grupy na facebooku!

Twój adres e-mail nie zostanie opublikowany.

Call Now Button