„Kowal zawinił – cygana powiesili”, a w zasadzie to nie kowal, tylko … klient kowala

W dniu 28 grudnia 2020 r., na stronach Urzędu Ochrony Danych Osobowych, opublikowany został komunikat, wraz z decyzją Prezesa UODO nr DKN.5131.5.2020, o nałożeniu administracyjnej kary pieniężnej w wysokości 85.588 zł, co stanowi po przyjętym kursie równowartość 20.000 Euro. Nie byłoby w tym nic dziwnego, bo przecież organ ten, wielokrotnie czynił zadość art. 83 RODO w stosunku do podmiotów z różnych obszarów i specyfik działalności gospodarczej, w tym jednak konkretnym przypadku, karę pieniężną nałożył na zakład ubezpieczeń w związku z działaniem agenta ubezpieczeniowego.

Komuś może się wydawać, że wysokość kary z całą pewnością nie jest dotkliwa dla zakładu ubezpieczeń, ale każdy, kto tak myśli, jest oczywiście w błędzie, o czym dalej w artykule.

Ale od początku…

Inicjatorem wszczęcia postępowania prowadzonego przez UODO w zakresie naruszenia ochrony danych osobowych i zakończonego decyzją Prezesa była tzw. osoba trzecia, na której adres poczty elektronicznej omyłkowo została wysłana umowa ubezpieczenia (polisa), jako finalny element procesu dystrybucji ubezpieczeń. Zatem to nie klient – strona umowy, otrzymał swoją polisę, ale polisę wraz z zawartymi w niej danymi osobowymi tego klienta, w tym z newralgicznym numerem PESEL, otrzymała osoba niebędąca do tego uprawniona. Dlaczego jednak doszło do omyłki i kto w tym zakresie zawinił? Odpowiedź zawarta jest w decyzji Prezesa …, zawinił „klient kowala”, podając błędny do siebie adres poczty elektronicznej.

Idąc dalej…

Organ nadzoru mając już wiedzę od osoby trzeciej o naruszeniu danych osobowych, zwrócił się do zakładu ubezpieczeń o wyjaśnienia, w tym o to czy w związku z naruszeniem ochrony danych osobowych ubezpieczyciel dokonał analizy ryzyka naruszenia praw i wolności osób fizycznych, której wynik warunkuje obowiązek zgłoszenia takiego naruszenia Prezesowi UODO w terminie 72 godzin po stwierdzeniu naruszenia, lub zwalnia ubezpieczyciela z tego obowiązku (art. 33 RODO). W odpowiedzi zakład ubezpieczeń potwierdził, że do naruszenia ochrony danych osobowych doszło, jednak dokonana analiza ryzyka wykazała, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych w związku z czym zakład ubezpieczeń nie miał obowiązku zawiadomienia Prezesa UODO o naruszeniu. W wyjaśnieniach zakład ubezpieczeń wskazał ponadto, że błędny adres poczty elektronicznej przekazał sam klient, a osoba trzecia, jako nieuprawniona do otrzymania polisy została przez zakład ubezpieczeń zobowiązana do usunięcia korespondencji i potwierdzenia tego zdarzenia w drodze zwrotnej korespondencji.

W związku z tym, że po złożonych wyjaśnieniach Prezesowi UODO, zakład ubezpieczeń nadal nie dokonał formalnego zawiadomienia o naruszeniu, Prezes wszczął postępowanie administracyjne, w trakcie którego zakład ubezpieczeń spełnił już ten obowiązek. Prezes uznał jednak, że takie opóźnienie zgłoszenia naruszenia ochrony danych osobowych jest okolicznością obciążającą zakład ubezpieczeń.

W toku postępowania Prezes uznał również, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Co więcej, Prezes UODO wskazał ponadto, że zakład ubezpieczeń dopuszczając możliwość wykorzystywania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyk z tym związanych, np., że podany przez klienta elektroniczny adres do korespondencji może być błędny, co oczywiście ma obligować zakład ubezpieczeń do wprowadzenia odpowiednich środków organizacyjnych i technicznych (np. szyfrowanie korespondencji elektronicznej), aby takim sytuacjom zapobiec. Prezes UODO zwrócił też uwagę na to, że zakład ubezpieczeń wysyłając osobie, która w sposób nieuprawniony otrzymała polisę na swój adres poczty elektronicznej, nie może mieć pewności, że usunie ona trwale dane osobowe klienta i że nie wykona ich kopii.

Zatem decyzja Prezesa Urzędu Ochrony Danych Osobowych nie tylko wpłynęła na „stan kieszeni” zakładu ubezpieczeń, ale również, a może przede wszystkim, wpłynęła za zmianę treści starego porzekadła, czy jak kto woli przysłowia, które od 28 grudnia 2020 r. powinno brzmieć następująco:

Klient kowala zawinił – cygana powiesili.

A teraz, już po krótce, odniosę się do wysokości administracyjnej kary pieniężnej, tj. do 20.000 Euro. Jak wspominałem na początku, dotkliwość kary, owszem, w wymiarze wartości może nie jest wysoka, bo w przeszłości Prezes UODO nakładał już zdecydowanie wyższe kary. Ale określając wysokość tej kary, Prezes uzależnił ją w dużej mierze od tego, że naruszenie dotyczyło danych osobowych jedynie dwóch osób. Prosta kalkulacja wskazuje, że za udostępnienie danych osobowych nieuprawnionym odbiorcom jednej tylko osoby kosztować nas może 10.000 Euro. Aż strach pomyśleć co byłoby, gdybyśmy przez przypadek zagubili naszego osobistego laptopa, który służy nam do wykonywania czynności związanych z naszą pracą.

Ale i na to jest rada: Szyfrujcie sprzęt elektroniczny, … by nie powieszono cygana! Instrukcje szyfrowania znajdują się w Panelu Agencyjnym Asist.


Autor
Artur Korzeniewski