85 tysięcy złotych kary za źle wysłanego e-maila. Sprawa nie jest taka prosta
UDOO nałożył karę w wysokości 85588 zł na Towarzystwo Ubezpieczeń i Reasekuracji Warta S.A. Jak czytamy w komunikacie urzędu, nie zgłoszono incydentu naruszenia ochrony danych osobowych. Cała sprawa opiewa w kontrowersje, bo zaczyna się od błędu klienta, a nie firmy.
W maju 2020 roku do UODO trafiła informacja od osoby postronnej o naruszeniu ochrony danych osobowych. Poprzez wiadomość e-mail, agent ubezpieczeniowy wysłał polisę ubezpieczeniową do nieuprawnionego adresata. W dokumencie znajdowały się wrażliwe dane osobowe, w tym imiona, nazwiska, adresy zamieszkania, numery PESEL czy informacje dotyczące przedmiot ubezpieczenia, w tym przypadku samochodu.
UODO otrzymał te informacje od osoby, w której ręce omyłkowo trafiły te dane. Z tego względu doszło do naruszenia poufności klientów TUiR Warta S.A. Organ nadzorczy zwrócił się do spółki z zapytaniem, czy rzeczywiście doszło do takiej sytuacji, oraz czy dokonano analizy pod kątem ryzyka naruszenia RODO. Zażądano także wyjaśnień.
I tutaj sprawa się komplikuje. Spółka TUiR Warta potwierdziła, że doszło do takiego incydentu na podstawie informacji przekazanych przez UODO. Podczas wewnętrznego śledztwa ustalono, że błędny adres e-mail został podany przez samego klienta. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.
Warta naruszyła przepisy związane z RODO, bo nie zgłosiła sprawy do UODO
Spółka została więc ukarana nie za samo naruszenie danych osobowych, ale za brak zgłoszenia tej informacji do urzędu. W tym przypadku błędnie przyjęto założenie, że osoba, do której trafiły dane, a jednocześnie zgłosiła sprawę firmie, jest na tyle godna zaufania, że po prostu usunie te informacje, a sprawę można zamieść pod dywan. To nie jest wystarczające działanie w takiej sytuacji.
Oceną ryzyka zajmuje się UODO i tego typu sprawy za każdym razem muszą być zgłaszane do urzędu. W obliczu tej sytuacji warto zwrócić uwagę na pewien absurd przepisów RODO. Wykorzystując takie sytuacje, poszczególni klienci mogliby notorycznie działać na niekorzyść firmy, podając błędne adresy e-mail. Jak zauważa Niebezpiecznik, tutaj przedsiębiorstwo może uchronić jedynie zapis zawarty w wytycznych Grupy Roboczej Art. 29.
W tym przypadku pojawiają się odbiorcy do których trafiają dane osobowe, chociaż nie powinny. Jednakżę jeśli jest to "zaufany odbiorca", UODO może uznać, że nie doszło do żadnego naruszenia. Niestety przepisy w tej kwestii są dość ograniczone. Może być to osoba związana z organizacją, w jakiś sposób współpracująca z nią, czy też administrująca serwisy jako pośrednia firma. W każdym innym przypadku, osoba otrzymująca takie wiadomości nie należy do grona "zaufanych odbiorców".