9 grudnia 2020 Prezes Urzędu Ochrony Danych(PUODO) nałożył na TUiR WARTA S.A karę pieniężna w wysokości 85 588 zł .
PUODO stwierdził naruszenie przepisów RODO dotyczących:
art.33 – nie zgłoszeniu naruszenia do Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia
art. 34 – nie zawiadomieniu o naruszeniu, bez zbędnej zwłoki osób, których dane dotyczą
Jak wyglądała cała sytuacja możemy wywnioskować z samej decyzji.
Pewnego wieczoru jeden z agentów ubezpieczeniowych, będący procesorem TUiR Warta S.A., wysłał pocztą elektroniczną polisę ubezpieczeniową na niewłaściwy adres e-mail. Warto na samy wstępie zaznaczyć, że to klient, czyli osoba, której dane dotyczą podała zły adres e-mail, na który wysłano korespondencję.
I w ten oto sposób doszło do naruszenia poufności, czyli ujawnienia danych dwóch osób, nieuprawnionej osobie, w zakresie danych znajdujących się w polisie wynikających z podpisywanej umowy.
Co stało się dalej ?
O samym incydencie, co w dalszej kolejności spowodowało rozpoczęcie działań przez Urząd Ochrony Danych Osobowych (UODO), poinformował sygnalista, czyli osoba, do której błędnie skierowano wiadomość, która przekazała informację, że takie dane trafiły właśnie na jej skrzynkę.
Urząd, po otrzymaniu takiej informacji, złożył prośbę do Spółki z prośbą o wyjaśnienie czy dokonano analizy incydentu pod kątem naruszenia praw i wolności osób fizycznych w związku z wskazanym incydentem, co jest obowiązkiem każdego przedsiębiorcy i organizacji, czy sytuację zignorowano.
W dalszej kolejności w swojej odpowiedzi Spółka przekazała informację, że naruszenie rzeczywiście miało miejsce jednak analiza wykazała, że nie ma potrzeby zawiadomienia Urzędu, ponieważ:
„1. klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej, 2. nieuprawniony odbiorca zwrócił się do Spółki, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał.”
a
„w oparciu o powyższe argumenty, Spółka przyjęła brak wysokiego prawdopodobieństwa negatywnych skutków dla osób, których dane dotyczą, poprzez nieuprawnione wykorzystanie ich danych oraz wskazała na zastosowany środek naprawczy w postaci skierowania do nieuprawnionego odbiorcy prośby o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.”
Na podstawie uzyskanych informacji Prezes UODO, ponownie wezwał Spółkę do wykonania analizy incydentu.
Spółka po dokonaniu ponownej oceny pozostała na swoim stanowisku, dodatkowo wskazując, że ”dane zostały ujawnione tylko nieuprawnionemu obiorcy, który sam zwrócił się do Spółki z zawiadomieniem o zdarzeniu, co pokazuje, że jest świadomy przepisów i wagi informacji, które otrzymał. W związku z tym, prawdopodobieństwo posłużenia się tymi informacjami w sposób nieuprawniony lub wyrządzenia innej szkody, jest w ocenie Spółki niskie. „
załączając całą korespondencję związania z nieuprawnionym odbiorcą, który zobowiązał się do usunięcia danych.
Urząd po raz drugi nie prosił o wyjaśnienia i w związku z brakiem zgłoszenia zawiadomienia do UODO, Prezes wszczął wobec Spółki postępowanie administracyjne.
Po wszczęciu postępowania Spółka zdecydowała się jednak zgłosić Prezesowi UODO naruszenie oraz potwierdziła zawiadomienie osób o incydencie.
Prezes Urzędu natomiast analizując całą sprawę wskazał iż:
- istnieje wysokie ryzyko dla naruszenia praw i wolności osób fizycznych i wymienił następujące szkody, które „obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia” dla osób, których dane zostały ujawnione
- „dla powyższej oceny nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie.
Ważne w tym miejscu jest wskazanie przez Urząd, że:
„w przedmiotowej sprawie nie ma jednak podstaw, by nieuprawnionego odbiorcę uznać i traktować jako „odbiorcę zaufanego”. Ponadto, Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.”
Mówiąc, krótko jeśli nie znamy odbiorcy, któremu ujawniliśmy dane, nie możemy uznać go za zaufanego.
Kluczowe również dla przeprowadzenia każdej analizy ryzyka, jest wskazane przez Urząd, że wykorzystując w swojej komunikacji pocztę elektroniczną należy być świadomym ryzyka związanego
„np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej”
a w celu jego minimalizacji
„przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu,
czy też szyfrowanie przesyłanych w ten sposób dokumentów.”
Ciekawe jest również, że Urząd na podstawie wskazania przez Spółkę, w zgłoszeniu, że
„w celu zminimalizowana ryzyka ponownego wystąpienia naruszenia, zdecydował się na przeprowadzenie z agentem rozmowy oraz przeszkolenie pracowników placówki agencyjnej, które uwzględnią konieczność szyfrowania korespondencji elektronicznej kierowanej do klientów oraz konieczność zwracania uwagi na poprawność podawanych przez klienta danych kontaktowych.”
wywnioskował, że środki takie wcześniej nie były stosowane.
Dla samej kary pieniężnej znaczenie miało również to, że Spółka dopiero po wszczęciu decyzji administracyjnej powzięła decyzję o poinformowaniu UODO i osób fizycznych, podkreślając, że
„rolą zawiadomienia osób o naruszeniu ich danych osobowych jest przede wszystkim zapewnienie osobom, których dane dotyczą – szybkiej i przejrzystej informacji o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.”
A same naruszeni miało związek z
„ brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, tj. weryfikacji adresów mailowych wskazywanych przez klientów czy szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych.”,
jasno wskazując przez to jak incydentu tego można było uniknąć.
Podsumowując.
- Szyfruj załączniki, w szczególności jeśli znajduje się tam duży zakres danych.
- Wprowadź procedurę weryfikacji adresów e-mail.
-Jeśli Twoja analiza ryzyka lub rekomendacje Twojego IODy nie zostały jeszcze wdrożone, to niezwłocznie podejmij działania w tym zakresie.
- Analizując każdy incydent, zawsze na wstępie zakładaj, że musisz powiadomić o nim Urząd i musisz znaleźć naprawdę silne argumenty, żeby takiego zgłoszenia nie dokonać.
- Prośba o usunięcie niewłaściwie wysłanych danych, kiedy nie znamy odbiorcy po drugiej stronie, nie wystarcza.
Link do decyzji: https://uodo.gov.pl/decyzje/DKN.5131.5.2020
Pozdrawiamy,
Zespół rodo.pl