ERGO Hestia S.A. ukarania za niezgłoszenie naruszenia ochrony danych
Prezes UODO nałożył na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia karę w wysokości blisko 160 tys. zł. Jest to wynik niezawiadomienia organu nadzorczego o naruszeniu ochrony danych a także braku poinformowania o tym naruszeniu osoby, której dotyczy dane.
Kto dokonał a kto zaniechał zgłoszenia naruszenia ochrony danych
Zdarzenie zostało zgłoszone przez firmę zajmującą się pośrednictwem ubezpieczeniowym. Pełniła ona role administratora danych osobowych ale też podmiotu przetwarzającego względem towarzystw ubezpieczeniowych.
Zasygnalizowane naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika firmy pośredniczącej do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia. Informacja ta zawierała takie dane osobowe jak:
-
imię, nazwisko,
-
numer PESEL,
-
miejscowość,
-
kod pocztowy
-
informację o przedmiocie ubezpieczenia.
Firma pośrednicząca zgłosiła naruszenie jako administrator danych ale też jako procesor poinformowała o zdarzeniu Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. Ten podmiot nie zgłosił jednak żadnego naruszenia.
Nieprawidłowa analiza ryzyka
Odpowiadając na zapytanie UODO, towarzystwo ubezpieczeń potwierdziło, że wprawdzie miało miejsce naruszenie ochrony danych, niemniej jednak w oparciu o ocenę ryzyka naruszenia praw i wolności osób fizycznych przyjęte, iż nie było konieczności zgłoszenia naruszenia Prezesowi UODO i podmiotom danych.
Organ nadzorczy miał jednak zastrzeżenia do przeprowadzenia analizy ryzyka, zarzucając administratorowi błędy w tym zakresie.
W ocenie Prezesa UODO błędy te polegały w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania. To zaś świadczyło o dowolności i tendencyjności przeprowadzonej analizy.
Oświadczenie nieuprawnionego odbiorcy nie wystarczy
Dodatkowo spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości. Wynikało z niego, że nie jest on w posiadaniu wysłanych dokumentów a także że nie jest mu znana treść załączonych do wiadomości dokumentów, ponieważ nie zapoznawał się z ich treścią przed usunięciem wiadomości. W ocenie organu nadzorczego nie wykluczało to jednak przyjęcia, iż wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotu danych w tym także możliwość wystąpienia negatywnych konsekwencji w przyszłości.
Wręcz przeciwnie, Prezes UODO wskazał, że naruszenie przejawiało się tu w udostępnieniu danych nieuprawnionemu odbiorcy, którego nie można było uznać za odbiorcę zaufanego. O wysokim ryzyku naruszenia świadczył też zakres udostępnionych danych.
Reasumując, Prezes UODO uznał, że spółka niesłusznie zaniechała zgłoszenia naruszenia organowi nadzorczemu jak i podmiotowi danych.
-
Strona internetowa UODO (uodo.gov.pl)
Orzeczenie:
-
Decyzja Prezesa UODO z 21 czerwca 2021 r. (DKN.5131.3.2021)
- Czym zajmuje się kancelaria radcowska?
- Zgoda marketingowa – czy także od firmy lub instytucji
- Wpływ sztucznej inteligencji na ochronę danych osobowych
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
