Znów kara UODO dla ubezpieczyciela za brak zgłoszenia naruszenia ochrony danych
Niezgłoszenie naruszenia ochrony danych było przyczyną nałożenia na Link4 administracyjnej kary pieniężnej w wysokości prawie 104 tys. zł. Sprawdzamy, jakie były okoliczności, w związku z którymi Prezes UODO ukarał ubezpieczyciela.
Omyłkowa korespondencja i wyciek danych osobowych
Stan faktyczny sprawy był dość zbliżony do innych tego typu zdarzeń z udziałem ubezpieczycieli. Otóż Link4 Towarzystwo Ubezpieczeń S.A. omyłkowo wysłało wiadomość e-mail z załącznikiem zawierającym dane osobowe do nieuprawnionej osoby. W wysłanym e-mail znalazły się następujące dane, w tym również dane osobowe:
-
imię i nazwisko,
-
adres do korespondencji,
-
marka, model, numer rejestracyjny samochodu,
-
numer polisy, numer szkody, jej wartość,
-
kwota uznanego roszczenia.
Odbiorca e-maila poinformował Link4 o otrzymaniu wiadomości zawierającej cudze dane osobowe. Nie spotkało się to jednak z jakąkolwiek reakcją ubezpieczyciela. W związku z tym odbiorca poinformował o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych, który wszczął postępowanie.
Administrator dokonał analizy ryzyka według wytycznych ENISA
Ubezpieczyciel w wyjaśnieniach składanych do Prezesa UODO wskazywał, że doszło tu do omyłki wskutek błędu ludzkiego. Jednocześnie podkreślił, że w związku ze zdarzeniem przeprowadził analizę ryzyka, opierającej się o metodologię ENISA i kalkulator oceny wagi naruszenia dostępny bezpłatnie w internecie. W wyniku analizy administrator doszedł do wniosku, że ryzyko naruszenia praw i wolności podmiotu danych jest niskie. Z tego względu administrator odnotował zdarzenie w rejestrze naruszeń i zrezygnował z jego zgłaszania.
Niewłaściwa ocena ryzyka naruszenia
Z oceną tą nie zgodził się jednak organ nadzorczy. Wskazał bowiem, że w ocenie należało położyć nacisk na istnienie samego ryzyka naruszenia praw lub wolności osób fizycznych a nie na wystąpienie tego naruszenia.
Istnienie ryzyka zmaterializowania się naruszenia praw i wolności osób fizycznych uzasadnia zgłoszenie naruszenia ochrony danych, jeżeli jest to ryzyko więcej niż małe.
W ocenie Prezesa UODO oceny tego ryzyka należy dokonywać z uwzględnieniem przede wszystkim osoby, której dane dotyczą, a nie interesów administratora. Tego zdaniem organu nadzorczego zabrakło w działaniach ubezpieczyciela.
Tajemnica ubezpieczeniowa a kara UODO
Wymierzając karę pieniężną w wysokości 103 752 zł, Prezes UODO uwzględnił m.in. długi czas trwania naruszenia, jego umyślność i niezadowalający poziom współpracy z organem nadzorczy. Wziął także pod uwagę stwierdzone naruszenie ochrony danych w innym postępowaniu przeciwko ubezpieczycielowi. Nie bez znaczenia jest tu także przewidziany dla ubezpieczyciela w art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej obowiązek zachowania tajemnicy ubezpieczeniowej. Dotyczy ona informacji zawartych w poszczególnych umowach ubezpieczenia.
-
www.gov.pl/web/cppc/cyberbezpieczny-samorzad
- Pracownik w delegacji – jak wygląda przekazywanie jego danych osobowych do państwa trzeciego
- Mechanizmy dochodzenia roszczeń w związku z wdrożeniem ram ochrony danych UE - USA
- Upoważnienie do przetwarzania danych osobowych czy oświadczenie o poufności
- TSUE: Identyfikator personalizacji reklam zaliczany do danych osobowych według RODO
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Zgoda marketingowa – czy także od firmy lub instytucji
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
