Obserwując ostatnią aktywność UODO, trudno oprzeć się wrażeniu, że organ nadzorczy zintensyfikował swoje działania, czego przejawem są choćby trzy kary nałożone przez UODO tylko w II połowie grudnia 2020 r. Jedną z nich, budzącą chyba najwięcej kontrowersji, jest kara nałożona na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. za wysłanie polisy ubezpieczenia na adres e-mail podany przez klienta, który … okazał się błędny.

Kara dla TUiR WARTA

Stan faktyczny

Naruszenie ochrony danych osobowych stwierdzone przez organ nadzorczy polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, procesora Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczenia samochodu do nieuprawnionego adresata,  mimo że wysłano ją na adres e-mail wskazany przez klienta.

Za co kara?

Organ nadzorczy nałożył na spółkę karę pieniężną (w wysokości 85 588 zł) za naruszenie dwóch przepisów: art. 33 ust. 1 ogólnego rozporządzenia o ochronie danych osobowych z 27 kwietnia 2016 r. (2016/679) (dalej „RODO”) oraz art. 34 ust. 1 RODO, tj. zdaniem organu nadzorczego, WARTA jako administrator nie dochowała obowiązków związanych z jednej strony ze zgłoszeniem naruszenia ochrony danych osobowych na warunkach i w terminie określonym w art. 33 ust. 1 RODO, a z drugiej – zaniedbała obowiązek zawiadomienia osób, których dane dotyczą, o naruszeniu ochrony danych osobowych.

Jakie kategorie danych były przedmiotem naruszenia?

Na skutek zdarzenia doszło do naruszenia poufności danych dwóch (sic!) osób w zakresie ich imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

Skąd UODO powziął informację o naruszeniu?

Informacja o zdarzeniu trafiła do Urzędu od nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów zawierających ww. dane osobowe, czyli właściciela skrzynki e-mail, która omyłkowo została podana przez klienta przy zawieraniu umowy ubezpieczenia.

Jak zareagował UODO i co się działo krok po kroku?

  1. Po powzięciu informacji o zdarzeniu UODO zwrócił się do spółki o wyjaśnienie, czy  w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie.
  2. Spółka w odpowiedzi wskazała, że taka analiza została przez nią przeprowadzona, natomiast w jej wyniku stwierdzono brak wysokiego prawdopodobieństwa negatywnych skutków dla osób, których dane dotyczą.

    TUiR Warta S.A. uzasadniała to w ten sposób, że
    - po pierwsze: klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej;
    - po drugie - nieuprawniony odbiorca sam zwrócił się do spółki, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał.

    Środkiem naprawczym zastosowanymi przez spółkę było natomiast skierowanie do nieuprawnionego odbiorcy prośby o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.
  3. Prezes UODO ponownie wezwał Spółkę do wykonania analizy pod kątem ryzyka naruszenia praw i wolności osób fizycznych.
  4. Spółka ponownie zaznaczyła, że w jej ocenie nie wystąpiło wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, ponieważ dane zostały ujawnione tylko nieuprawnionemu obiorcy, który sam zwrócił się do Spółki z zawiadomieniem o zdarzeniu, dlatego prawdopodobieństwo posłużenia się tymi informacjami w sposób nieuprawniony lub wyrządzenia innej szkody, jest w ocenie spółki niskie.
  5. UODO wszczął postępowanie administracyjne.
  6. Spółka zgłosiła Prezesowi UODO naruszenie i zawiadomiła obie osoby, których dotyczyło naruszenie.
  7. Prezes UODO nałożył na TUiR WARTA S.A. administracyjną karę pieniężną w wysokości 85 588 zł.

Kontrola UODO

Zdaniem UODO…

Poniżej parę „przemyśleń” Urzędu z uzasadnienia do przedmiotowej decyzji, na które warto zwrócić uwagę.

  • Z naruszeniem mamy do czynienia zarówno gdy jest umyślne, jak i nieumyślne. Fakt, że do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia.
  • Administrator dopuszczający możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych, przykładowo, z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji musi przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu czy szyfrowanie przesyłanych w ten sposób dokumentów.
  • PESEL wraz z imionami i nazwiskami, adresami zamieszkania, numerami telefonów oraz adresami poczty elektronicznej oznacza wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
  • Z jednej strony: na ocenę naruszenia nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji ani oświadczenie o zniszczeniu otrzymanej korespondencji. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się.
  • Ale: [z Wytycznych Grupy Roboczej Art. 29 dot. zgłaszania naruszeń ochrony danych] co jeśli dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta? Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”. W przedmiotowej sprawie nie ma jednak podstaw, by nieuprawnionego odbiorcę uznać i traktować jako „odbiorcę zaufanego” . Ponadto Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
  • Naruszenie tajemnicy ubezpieczeniowej należy traktować jako podnoszące wagę naruszenia i uzasadniające surowszą ocenę.

Okoliczności mające wpływ na wymiar kary

Za okoliczności obciążające Urząd uznał:

  1. znaczną wagę i poważny charakter naruszenia (ryzyko wystąpienia szkód majątkowych lub niemajątkowych dla osób oraz wysokie prawdopodobieństwo);
  2. długi czas trwania naruszenia (od maja do października, w którym nastąpiło zgłoszenie);
  3. umyślny charakter naruszenia (spółka podjęła świadomą decyzję, by początkowo nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą. W przeszłości –  w przypadku naruszeń zbliżonych lub podobnych do omawianego – spółka zgłaszała je Prezesowi UODO, a więc powinna mieć świadomość, że również i tym razem należało zrealizować ten obowiązek;
  4. fakt, że stwierdzone naruszenie miało związek z brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, tj. weryfikacji adresów mailowych wskazywanych przez klientów czy szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych;
  5. niezadowalającą współpracę ze strony Spółki;
  6. szeroki zakres danych (generujący wysokie ryzyko);
  7. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu.

Okoliczności łagodzące

  1. Liczba poszkodowanych osób (dwie).
  2. Skierowanie prośby do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Takie działanie spółki zdaniem UODO zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne  z gwarancją faktycznego usunięcia przez osobę nieuprawnioną danych osobowych i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania dla podmiotów danych.

Przejęcie IOD

Kara słuszna czy niesłuszna?

Wokół decyzji Prezesa UODO pojawiło się sporo wątpliwości i zastrzeżeń co do ustaleń Urzędu. Przykładowo, część praktyków uważa, że tego typu zdarzenie trudno jest rozpatrywać z punktu widzenia naruszenia ochrony danych osobowych, ponieważ do naruszenia niekoniecznie doszło do „u nas” jako u administratora – przecież to klient podał błędny adres e-mail, a zatem  do samego naruszenia doszło już poza naszą organizacją; ta koncepcja  jest jednak raczej trudna do obronienia. Idąc dalej, decyzji można zarzucić, że nie dotyczy naruszenia art. 32 RODO (mówiącego o konieczności wdrożenia przez organizację odpowiednich środków i technicznych), mimo że wydaje się, że to właśnie ten artykuł powinien być podstawą całej decyzji.  Skoro nie doszło do naruszenia art. 32 RODO, to czy wobec tego można w ogóle mówić o tym, że zaktualizowały się obowiązki z art. 33 i art. 34 RODO? Dlaczego organ nadzorczy zignorował kwestię zasady prawidłowości danych, jako tej, której niedopełnienie można by zarzucić WARCIE? Jak zorganizować w takim razie proces weryfikacji adresu e-mail? Przecież sama wysyłka linku potwierdzającego na adres e-mail nie stanowi gwarancji, że link zostanie „odkliknięty” przez uprawnioną osobę (nieuprawniony odbiorca takiego maila równie dobrze może w ten link kliknąć). Czy szyfrowanie załączników jest jedynym wyjściem?

Decyzja generuje sporo pytań, daje niewiele odpowiedzi, natomiast wydaje się, że celem UODO było „zachęcenie” przedsiębiorców do zgłaszania nawet pozornie błahych naruszeń, a jeśli – na domiar złego – przedmiotem naruszenia byłby numer PESEL, wówczas powinno ono być zgłaszane do Prezesa UODO niejako z defaultu.

Czy to dobry kierunek?

Trudno powiedzieć, natomiast chyba wszyscy trzymamy kciuki za WARTĘ w postępowaniu przed sądem administracyjnym, licząc, że na etapie postępowania skargowego chociaż niektóre kwestie zostaną rozstrzygnięte w taki sposób, aby zachowane były gwarancje bezpieczeństwa danych osób fizycznych, a jednocześnie aby nie obarczać przedsiębiorców niemożliwymi do spełnienia standardami, które niekoniecznie przyczyniają się do zwiększenia ochrony praw i wolności podmiotów danych.