202103.26
0

TUiR WARTA S.A. ukarane przez Urząd Ochrony Danych Osobowych

Prezes Urzędu Ochrony Danych Osobowych 09 grudnia 2020 r. po przeprowadzeniu postępowania stwierdził naruszenie przez TUiR WARTA S.A. przepisów:

1. art. 33 ust. 1 rozporządzenia 2016/679, polegającego na nie zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

2. art. 34 ust. 1 rozporządzenia 2016/679, polegającego na nie zawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,

i w związku z tym nałożył na TUiR WARTA S.A. karę pieniężną w wysokości 85 588 złotych.

Naruszenie polegało  na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego będącego podmiotem przetwarzającym dla TUiR WARTA S.A., zwanej dalej również ,,Spółką”, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata, w wyniku czego doszło do naruszenia poufności danych dwóch osób. O naruszeniu ochrony danych osobowych organ nadzorczy został poinformowany przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów zawierających dane osobowe dwóch osób.

Spółka, potwierdziła,  że naruszenie ochrony danych osobowych polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy miało miejsce. Spółka wskazała, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na jej podstawie Spółka doszła do wniosku, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO, ponieważ:

1. klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej,

2. nieuprawniony odbiorca zwrócił się do Spółki, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał.

W odpowiedzi Prezes UODO wskazał Spółce TUiR WARTA S.A., że z naruszeniem ochrony danych mamy do czynienia zarówno w przypadku, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. W związku z powyższym, fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia i należy zakwalifikować je jako naruszenie ochrony danych osobowych. Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych. Zdaniem Prezesa UODO podkreślić również należy, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na przesłaniu polisy ubezpieczeniowej nieuprawnionemu odbiorcy, w szczególności danych dotyczących numerów PESEL wraz z danymi teleadresowymi oraz informacjami o przedmiocie ubezpieczenia (samochód osobowy), zakresie ubezpieczenia, a także dodatkowych zapisach wynikających  z umowy, spowodowało wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Na powyższą ocenę nie ma też wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem żadnej pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Podkreślić jednocześnie należy, że administrator danych, w tym wypadku  TUiR WARTA S.A. dopuszczający możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu.

Co istotne w niniejszej sprawie, Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Prawidłowe w ocenie Prezesa UODO działania (czyli zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) Spółka podjęła dopiero na skutek formalnego wszczęcia przez Prezesa UODO postępowania administracyjnego w sprawie. Tym samym, w ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna o wspomnianej wcześniej wysokości, spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

foto: pixabay/geralt