Ubezpieczyciel ukarany za niezgłoszenie naruszenia ochrony danych

Dodano: 30 grudnia 2020
530b82e5a4053ec77f380cdcc8bc7cd755b88396-xlarge (1)

Karę w wysokości 85 588 zł nałożył Prezes UODO na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Spółka nie zgłosiła bowiem naruszenia ochrony danych Prezesowi UODO.

Opis stanu faktycznego

Jeszcze w maju 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych. Miało ono polegać na wysłaniu drogą mailową przez agenta ubezpieczeniowego, będącego procesorem dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata. W dokumencie znajdowały się dane osobowe takie jak imiona, nazwiska, adresy zamieszkania, numery PESEL i informacje dotyczące przedmiotu ubezpieczenia (samochód osobowy).

Załączony dokument zawierał  dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Informację tę przekazał adresat, który otrzymał nieprzeznaczone dla niego dokumenty. Natomiast spółka takiego zgłoszenia nie dokonała. W efekcie w ocenie organu nadzorczego doszło do naruszenia poufności danych osobowych.

Dlaczego ubezpieczyciel nie zawiadomił PUODO? Jak wskazał w wyjaśnieniach, przeprowadzona została ocena pod kątem naruszenia praw i wolności osób fizycznych. Na jej podstawie uznano, że zgłoszenie naruszenia nie jest wymagane. Spółka zaznaczyła, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazał sam klient. Co więcej nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.

Prośba o usunięcie wiadomości nie wystarczy

Ostatecznie spółka dokonała zgłoszenia naruszenia i zawiadomienia osób, których dotyczyło naruszenie, co nastąpiło już na etapie wszczętego przez organ nadzorczy postępowania administracyjnego.

Uwaga

W toku tego postępowania Prezes UODO wskazał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może stanowić podstawy do przyjęcia, że dane zdarzenie nie jest naruszeniem ochrony danych.

W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na  niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Organ nadzorczy wskazał, że administrator powinien mieć w takim przypadku świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym powinien wprowadzić odpowiednie środki organizacyjne  i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.

Uwaga

Zdaniem UODO obowiązku zgłoszenia naruszenia nie wyłącza również zwrócenie się z prośbą o trwałe usunięcie niewłaściwie adresowanej wiadomości. Nie ma bowiem pewności, czy dane w tej wiadomości nie zostały potajemnie utrwalone.

Kryteria wymiaru kary

W efekcie ubezpieczyciel został ukarany karą finansową w wysokości 85 588 zł , na wymiar której wpływ miał m.in. długi czas trwania naruszenia. Z drugiej strony wzięto pod uwagę również okoliczności łagodzące tj. fakt, że naruszenie dotyczyło danych osobowych dwóch osób oraz, że spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji.

Źródło:

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel