Urząd Ochrony Danych Osobowych opublikował 17 decyzji, które wydał już na podstawie RODO. Jedna z nich dotyczy obowiązku zawiadomienia osoby o ujawnieniu jej danych. Okazuje się, że nie wystarczy poinformować, że doszło do wycieku. Dr Edyta Bielak-Jomaa, prezes UODO, nakazała ubezpieczycielowi poinformować jego potencjalnego klienta o wszystkich konsekwencjach jakie może spowodować ujawnienie danych klienta osobie trzeciej, a także o środkach, które należy podjąć w celu zminimalizowania negatywnych skutków. Ta decyzja może być ważna dla kilku tysięcy firm. Od 25 maja 2018 roku, czyli od dnia stosowania RODO, do 5 kwietnia do UODO wpłynęło 3885 zgłoszeń dotyczących naruszeń na podstawie art. 33 RODO.

Sprawdź w LEX: Zawiadomienie osoby, której dane dotyczą o naruszeniu ochrony danych >

- Decyzja ta pokazuje bardzo słusznie, przywiązanie unijnego prawodawcy do jasnego, konkretnego i szerokiego informowania osób o naruszeniu ochrony danych osobowych ich dotyczących – mówi Piotr Liwszic, specjalista ds. ochrony danych w ODO24. -  Mimo to nie skończyła się administracyjną kara pieniężną, a wyłącznie nakazaniem pewnego działania, mimo szerokiego zakresu ujawnionych danych - ocenia Piotr Liwszic. Z kolei zdaniem Katarzyny Kloc, adwokat i partner w kancelarii Gawroński & Piecuch decyzja pokazuje, jak istotna jest kwestia praktycznego stosowania podejścia opartego na ryzyku i jak ważne jest rzetelne przeprowadzenie analizy ryzyka wtórnego naruszenia ochrony danych. - Administrator taką analizę przeprowadził, jednak w ocenie UODO błędnie ocenił ryzyko naruszenia praw lub wolności „poszkodowanej” osoby jako średnie. W związku z tym nie wykonał obowiązku z art. 34 RODO i nie poinformował „poszkodowanego” o incydencie - wyjaśnia Katarzyna Kloc.

 


Polisa wysłana na błędny adres

W czerwcu 2018 r. jedna z firm  ubezpieczeniowych zgłosiła do UODO, że przesłała mail z danymi potencjalnego klienta na niewłaściwy adres mailowy. Zgodnie z art. 33 RODO poinformowała zatem RODO o tzw. naruszeniu danych. W jego efekcie nieuprawniona osoba trzecia  poznała imię, nazwisko, adres, numer PESEL, numer polisy, dane pojazdu (w tym nr rejestracyjny i numer VIN), numer propozycji zawarcia ubezpieczenia, okres ubezpieczenia, warunki ubezpieczenia, adres e-mail, data urodzenia, obywatelstwo, historia ubezpieczenia, dane dotyczące prawa jazdy, stan cywilny, fakt posiadania dzieci, miejsce parkowania pojazdu, numer rachunku do wpłaty składki, płeć oraz wybrany pakiet ubezpieczenia. Mimo to administrator nie poinformował osoby, której dane przesłał na błędny adres o zdarzeniu. Ocenił bowiem, że ryzyko naruszenia jej praw i wolności jako średnie. Zgodnie zaś z art. 34 RODO administrator zawiadamia bez zbędnej zwłoki osobę, której dane zostały ujawnione, jeżeli może to powodować wysokie ryzyko naruszenia praw lub wolności.
Przeczytaj, jakie zgłoszenia i skargi  trafiają do UODO i jakie działania może podjąć prezez >>

Ujawnienie numeru PESEL to istotne naruszenie

Prezes UODO ma jednak inne zdanie na ten temat i  w lipcu wezwał firmę do powiadomienia osoby o zaistniałej sytuacji. UODO wskazał, że naruszenie poufności numeru PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania, danymi ekonomicznymi i finansowymi, a także dokumentacją dotyczącą ubezpieczanego pojazdu powoduje wysokie ryzyko dla praw i wolności osoby. Jako przykładowe zagrożenia wskazał:

  • uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych;
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono;
  • korzystanie z praw obywatelskich osoby, której dane naruszono, np. wykorzystania danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
  • wyłudzenie ubezpieczenia.

Sprawdź w LEX: Praktyczne problemy w związku z realizacją prawa do bycia zapomnianym i możliwe rozwiązania/wskazówki >

Prezes UODO wskazał również, że osobie, której dane dotyczą, powinny być udzielone zalecenia co do środków, jakie może ona podjąć w celu zabezpieczenia się przed negatywnymi skutkami naruszenia. Wśród nich wymienił możliwość założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej,  zasugerowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

 



 

PESEL (nIe)wystarczy do zaciągnięcia pożyczki

W sierpniu firma przekonywała dr Edytę Bielak-Jomaa, że nie ma racji. Wskazywała, że wszystkie zagrożenia, które wymienia prezes UODO wymagają dodatkowej identyfikacji. Zapewniała, że zaciągnięcie kredytów w instytucjach pozabankowych nie jest możliwe, bo muszą one jeszcze zidentyfikować osobę po serii i numerze dowodu osobistego. Ponadto podkreślała, że poprosiła błędnego adresata o trwałe usunięcie wiadomości z danymi. Firma też poprosiła UODO o zmianę stanowiska, bo zależy jej, aby produkty ubezpieczeniowe kojarzyły się z bezpieczeństwem. Administrator jednak nie przekonał prezes UODO.

Decyzja o naruszeniu art. 34 RODO

W październiku, w efekcie wezwania PUODO,  a więc ponad pięć miesięcy po wycieku, administrator zdecydował się powiadomić o tym fakcie osobę, której dane dotyczyły. Firma nie posłuchała jednak rad prezes UODO i nie poinformowała o wszystkich możliwych konsekwencjach wycieku. Napisała jedynie, że osoba trzecia może posłużyć się tymi danymi. W efekcie prezes UODO stwierdził w decyzji z 20 listopada 2018 r., że taka informacja nie spełnia warunków z art. 34 ust. 2 RODO. - Właściwe wywiązanie się z tego obowiązku ma zapewnić osobie, której dane dotyczą - szybko i w sposób przejrzysty - informację o naruszeniu ochrony jej danych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość zarówno o bezpieczeństwo produktów ubezpieczeniowych, jak i o interesy osoby, której dane dotyczą, firma powinna była zatem bez zbędnej zwłoki zapewnić, osobie, której dane dotyczą, możliwość jak najlepszej ochrony jej praw i wolności wystawionych na ryzyko wynikające z naruszenia ochrony danych osobowych – podkreśliła prezes UODO.

Sprawdź w naszej księgarni: Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami >>
 

Brak zgłoszeń naraża na podwójną karę, potrzebne są dobre procedury

Co to oznacza w praktyce? Czy firmy będą unikać zgłaszania takich pojedynczych naruszeń? - Przy dzisiejszym wysokim poziomie świadomości obywateli w zakresie ochrony danych osobowych unikanie zgłoszeń, nawet jednorazowych naruszeń nie będzie miało miejsca - uważa Piotr Liwszic. - Tutaj po stronie administratorów jest bardzo duże ryzyko kar. Takie działanie samo w sobie może być podstawą nałożenia  kary za naruszenie obowiązków administratora (art. 83 ust. 4 lit a RODO) w wysokości do 10 mln euro/2 proc. obrotów.  Trzeba wtedy dodać możliwość otrzymania przez takiego administratora drugiej kary za samo naruszenie. Kumulacja kar może być potężna – podkreśla Piotr Liwszic.

Sprawdź w LEX: Administracyjne kary pieniężne za naruszenia ochrony danych – wysokość i zasady wymierzania >

Według Katarzyny Kloc w przypadku naruszenia ochrony danych ważne będzie przeprowadzenie analizy ryzyka i dobre ocenienie jego wagi. -  Rynek jest na  wczesnym etapie ustalania metodyki analizy ryzyka tego, co nazywane jest wtórnym naruszeniem. Dlatego zadanie polegające na ocenie czy należy informować o incydentach czy nie, rzeczywiście nie jest zadaniem trywialnym. Metodykę takiej analizy opracowaliśmy w naszej kancelarii. Mamy nadzieję skonsultować ją z ekspertami z UODO. Uwzględnia ona m.in. wytyczne Europejskuej Agencji  ds. Bezpieczeństwa Sieci i Informacji (ENISA) dotyczące oceny powagi naruszenia - dodaje Katarzyna Kloc.

Ponadto zdaniem Piotra Liszwica biznes raczej wypracuje systemy minimalizujące prawdopodobieństwo naruszeń. Jakie? Ubezpieczyciel może wprowadzić system podnoszący bezpieczeństwo przesyłania danych osobowych. - Wiadomości e-mail mogą być przesyłane z zaszyfrowanymi załącznikami, a hasło do nich może być wysłane, np sms-em, czy przez aplikację na smartfona.  Wtedy nie jest groźne przesłanie e-maila z zaszyfrowanym załącznikiem do osoby trzeciej, gdyż ona nie otrzyma hasła przysłanego smsem - radzi Piotr Liwszic. Można również w wiadomości e-mail przesłać link do systemu, który wymaga logowania i osoba trzecia nie uzyska dostępu do nie swoich danych. .

 

Sprawdź w LEX SIP jak wygląda kontrola UODO:

Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>