Wysłanie wiadomości na błędny adres e-mail może być incydentem ochrony danych?

  Niedawno nałożona kara w zakresie ochrony danych osobowych na pewien podmiot wzbudziła niemałe kontrowersje. Głównie w zakresie konkretnego stanu faktycznego, który tam miał miejsce.

Stan faktyczny: Klient wskazał błedny adres e-mial do wysłania polisy ubezpieczeniowej. Podmiot, któ®y to zrobił nie miał wiedzy, że adres e-mail jest błędy, bo co do zasady zakładał, że skoro klient go podał to oznacza, że jest uprawniony do posługiwania się danym adresem.

Na wskazany przez klienta adres e-mial została wysłana polisa ubezpieczeniowa.

Do Urzędu Ochrony Danych Osobowych (UODO) w maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń polisy ubezpieczeniowej do nieuprawnionego adresata.

Załączony dokument zawierał  dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.

Co nastąpiło dalej:

  1. Organ zgłosił się do wskazanej spółki o wyjaśnienie sytuacji
  2. Spółka potwierdziła, “że doszło do incydentu związanego z naruszeniem ochrony danych osobowych oraz, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. To właśnie na jej podstawie ukarana spółka uznała, iż zaistniałe naruszenie nie wymaga zawiadomienia UODO. Spółka uznała, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazał sam klient. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.”
  3. Pomimo pisma UODO z prośbą o wyjaśnienia, spółka nadal nie zgłosiła naruszenia ochrony danych osobowych oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzoru wszczął więc postępowanie administracyjne.

W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na  niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. “Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzić odpowiednie środki organizacyjne  i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.”

Dodatkowo w decyzji organ wskazał, że “nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie  lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem Spółka nie ma możliwości jego faktycznej weryfikacji. “

Pełna treść decyzji: TU

Bez wątpienia jest to ogromna kontrowersyjna decyzja. I o ile, dane wyciekły i rzeczywiście co do zasady incydent powinien taki zostać zgłoszony, o tyle kara jest rzeczywiście duża jak na fakt, że błędny e-mail został podany przez klienta. Myślę, że każdy kto jest przedsiębiorcą i ma do czynienia z e-mailami klientów doskonale wie, że zawsze ktoś może zrobić literówkę, czy chociażby się pomylić. Jednak UODO wskazał, że:

“Co więcej, naruszenie wiąże się również, zgodnie z art. 35 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. 2020 poz. 895, z późn. zm.), z naruszeniem tajemnicy ubezpieczeniowej, co wyraźnie podnosi wagę naruszenia i uzasadnia jego surowszą ocenę.”

Dodatkowo Organ (UODO) wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:

a) Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

b) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

c) Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

d) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

e) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

f) Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:

a) Liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

b) Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

a) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Spółkę (art. 83 ust. 2 lit. e rozporządzenia 2016/679);

b) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679);

c) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679);

d) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k).

Czekamy na dalszy rozwój sytuacji, bo z pewnością podmiot skorzysta z opcji złożenia przysługującego mu prawa wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych.

źródło: uodo.gov.pl, https://uodo.gov.pl/decyzje/DKN.5131.5.2020

_______________________________

Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podsatwie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.