Rok 2020 kończy się nam kolejną karą finansową nałożoną za naruszenie przepisów RODO. UODO na swojej stronie udostępnił informację o nałożonej karze za brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki.
Jak czytamy w komunikacie UODO: ” W maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata – swoją drogą jest to dość częsty błąd, jakiego dopuszczają się pracownicy – wszystko zależy od tego, jakie dane znajdują się w przesłanych dokumentach.”
Jak podaje Urząd „Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.”
Pomimo wymiany korespondencji pomiędzy UODO i Wartą, i prośby o wyjaśnienia, Warta w toku postępowania nie wywiązała się z obowiązku, jaki RODO nakłada na administratorów, w zakresie zgłaszania naruszeń. Zapraszamy do zapoznania się z treścią całego komunikatu UODO.
[Michał Cupiał] Cała sytuacja, aż prosi się o krótki komentarz.
Podmiot przetwarzający dla Warta S.A., wysyła polisę ubezpieczeniową na adres podany przez klienta. Niestety, okazuje się, że klient podał błędny adres co spowodowało, wysłanie polisy do nieuprawnionej osoby. Bez wątpienia sytuacja mieści się w definicji naruszenia (art. 4 pkt. 12 RODO), ponieważ doszło do przypadkowego ujawnienia danych osobie nieuprawnionej. Jednakże Warta S.A. dokonała oceny naruszenia i zrobiła wszystko co mogła, żeby naprawić błąd klienta. Nieuprawniony odbiorca w wyniku podjętych przez spółkę działań został zobowiązany do usunięcia danych. Tylko tyle niestety można zrobić w tej sytuacji i nie mamy żadnych możliwości faktycznego sprawdzenia usunięcia tych danych. Dodam tylko, że w takiej sytuacji jednak poinformowałbym właściciela danych o takim zdarzeniu.
Z treści samej decyzji wynika już, że Warta S.A. nie zgadzała się z opinią PUODO i koniecznością zgłoszenia Prezesowi naruszenia. PUODO wprost wskazało konieczność ponownej oceny naruszenia z uwagi na ujawnienie imion, nazwisk, nr PESEL, adresów zamieszkania i adresów poczty email dwóch osób. Warta S.A. niestety nie dostosowała się do tych zaleceń do czasu wszczęcia postępowania administracyjnego przez urząd, które jak wiemy zakończyło się ukaraniem niesubordynowanego podmiotu.
W mojej opinii nałożona kara nie do końca służy celowi jaki został wskazany w samej decyzji:
„Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Spółka zignorowała fakt, iż z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.”
Zważywszy na fakt, że błąd powstał z winy klienta, nałożona kara służy raczej przymuszeniu administratorów do bardziej restrykcyjnego dokonywania oceny naruszeń. Tylko, że do osiągnięcia tego celu bardziej przyczyni się rozsądna kampania informacyjna niż przykładowe karanie. Takie postępowanie Urzędu spowoduje, że będziemy zgłaszać nawet najbardziej błahe zdarzenia w obawie przed karą. Pozostaje nam modlić się, że nasze oceny skutków naruszenia będą takie jakich oczekuje PUODO, inaczej możemy mieć przypiętą łatkę podmiotu, który „ignoruje fakt”, że naruszenia mogą także mieć swoje źródło w nieumyślnych działaniach oraz, że dokonując zbyt liberalnej oceny wagi naruszenia lekceważymy swoje obowiązki jako administrator danych osobowych.
A tak na marginesie zastanawia mnie ile zgłoszeń dokonały ośrodki pomocy społecznej, które otrzymywały z systemów bankowych wnioski np. o 500+ i 300+ z błędnie podanym przez wnioskodawcę adresem e-mail. Wiemy przecież, że na ten adres przesyłana była decyzja o przyznaniu świadczenia. Być może pora dokonać ponownej oceny skutków naruszenia…
Rok 2020 kończy się nam kolejną karą finansową nałożoną za naruszenie przepisów RODO. UODO na swojej stronie udostępnił informację o nałożonej karze za brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki.
Jak czytamy w komunikacie UODO: ” W maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata – swoją drogą jest to dość częsty błąd, jakiego dopuszczają się pracownicy – wszystko zależy od tego, jakie dane znajdują się w przesłanych dokumentach.”
Jak podaje Urząd „Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.”
Pomimo wymiany korespondencji pomiędzy UODO i Wartą, i prośby o wyjaśnienia, Warta w toku postępowania nie wywiązała się z obowiązku, jaki RODO nakłada na administratorów, w zakresie zgłaszania naruszeń. Zapraszamy do zapoznania się z treścią całego komunikatu UODO.
Komunikat UODO
Treść decyzji UODO
[Michał Cupiał] Cała sytuacja, aż prosi się o krótki komentarz.
Podmiot przetwarzający dla Warta S.A., wysyła polisę ubezpieczeniową na adres podany przez klienta. Niestety, okazuje się, że klient podał błędny adres co spowodowało, wysłanie polisy do nieuprawnionej osoby. Bez wątpienia sytuacja mieści się w definicji naruszenia (art. 4 pkt. 12 RODO), ponieważ doszło do przypadkowego ujawnienia danych osobie nieuprawnionej. Jednakże Warta S.A. dokonała oceny naruszenia i zrobiła wszystko co mogła, żeby naprawić błąd klienta. Nieuprawniony odbiorca w wyniku podjętych przez spółkę działań został zobowiązany do usunięcia danych. Tylko tyle niestety można zrobić w tej sytuacji i nie mamy żadnych możliwości faktycznego sprawdzenia usunięcia tych danych.
Dodam tylko, że w takiej sytuacji jednak poinformowałbym właściciela danych o takim zdarzeniu.
Z treści samej decyzji wynika już, że Warta S.A. nie zgadzała się z opinią PUODO i koniecznością zgłoszenia Prezesowi naruszenia. PUODO wprost wskazało konieczność ponownej oceny naruszenia z uwagi na ujawnienie imion, nazwisk, nr PESEL, adresów zamieszkania i adresów poczty email dwóch osób. Warta S.A. niestety nie dostosowała się do tych zaleceń do czasu wszczęcia postępowania administracyjnego przez urząd, które jak wiemy zakończyło się ukaraniem niesubordynowanego podmiotu.
W mojej opinii nałożona kara nie do końca służy celowi jaki został wskazany w samej decyzji:
„Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Spółka zignorowała fakt, iż z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.”
Zważywszy na fakt, że błąd powstał z winy klienta, nałożona kara służy raczej przymuszeniu administratorów do bardziej restrykcyjnego dokonywania oceny naruszeń. Tylko, że do osiągnięcia tego celu bardziej przyczyni się rozsądna kampania informacyjna niż przykładowe karanie. Takie postępowanie Urzędu spowoduje, że będziemy zgłaszać nawet najbardziej błahe zdarzenia w obawie przed karą.
Pozostaje nam modlić się, że nasze oceny skutków naruszenia będą takie jakich oczekuje PUODO, inaczej możemy mieć przypiętą łatkę podmiotu, który „ignoruje fakt”, że naruszenia mogą także mieć swoje źródło w nieumyślnych działaniach oraz, że dokonując zbyt liberalnej oceny wagi naruszenia lekceważymy swoje obowiązki jako administrator danych osobowych.
A tak na marginesie zastanawia mnie ile zgłoszeń dokonały ośrodki pomocy społecznej, które otrzymywały z systemów bankowych wnioski np. o 500+ i 300+ z błędnie podanym przez wnioskodawcę adresem e-mail. Wiemy przecież, że na ten adres przesyłana była decyzja o przyznaniu świadczenia. Być może pora dokonać ponownej oceny skutków naruszenia…
Ostatnie wpisy
O mnie
Magdalena Gujska
Kategorie