RODO w działaniu: 85 tys. zł kary za wysłanie mailem danych do złego adresata

238

Codziennie wiele osób dostaje za pośrednictwem maila pisma, formularze oraz dane innych klientów tylko dlatego, że ktoś – często jeden z klientów – pomylił się w adresie e-mail. Tym razem taka sytuacja poskutowała nałożeniem na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. kary w wysokości 85588 zł.

UODO uzasadnia to nie tylko złamaniem przepisów RODO, ale także błędną oceną wagi sytuacji przez firmę i brakiem podjęcia odpowiednich kroków w jej następstwie.

Agent wysłał polisę ubezpieczeniową pocztą elektroniczną do niewłaściwego adresata. Wynikało to z nieprawidłowego adresu podanego przez samego klienta. Jednak w wyniku tej pomyłki osoba nieuprawniona otrzymała dane dotyczące imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy ubezpieczenia innych osób.

Pojawiają się wątpliwości, czy skoro do całej sytuacji doszło z winy klienta, a jednak konsekwencje poniosła firma, to czy nie jest możliwe, że klienci celowo będą podawali błędne dane firmom, które będą chcieli „ukarać”?
Niestety przyczyna naruszenia przepisów RODO – w tym wypadku błąd samego klienta – nie zmienia faktu, że do naruszenia doszło, bo dane trafiły do osoby nieuprawnionej.

Jednak stwierdzenie naruszenia to nie koniec. Następnie ocenie podlega to, czy sytuacja wpływa na prawa i wolność osoby, której dane dotyczą.  Kolejnym krokiem jest powiadomienie osoby, której dane dotyczą oraz UODO.

Spółka po tym, jak została przez odbiorę poinformowana o zaistniałej sytuacji, wysłała do niego  prośbę o usunięcie danych i potwierdzenie usunięcia. Przyjęła też brak wysokiego prawdopodobieństwa negatywnych skutków z uwagi na fakt, że odbiorca sam o zaistniałej sytuacji poinformował.

Zgłoszenie do UODO trafiło również z inicjatywy adresata korespondencji.

UODO w swojej decyzji stwierdził, że zagrożenie w takiej sytuacji jest zróżnicowane w zależności od uznania odbiorcy za „zaufanego” o czym mówią  wytyczne Grupy Roboczej Art. 29. W tym wypadku UODO nie uznaje za takiego odbiorcę. A jeśli administrator danych nie zna historii i procedur odbiorcy, to również za „zaufanego” nie może go uznawać. W każdym takim wypadku powinny zostać natychmiast podjęte wszelkie kroki uznające sytuację za wyjątkowo zagrażającą klientowi i jego danym. Tym bardziej, że w tej sytuacji doszło do wycieku całego katalogu danych (nazwiska, PESEL-e, pojazdy itd.) Dlatego to firma sama powinna powiadomić o całej sytuacji zarówno klienta, którego dane dotyczyły jak i UODO.

Dlatego nałożenie kary i jej wysokość nie wynikają tyle z samej sytuacji wysłania maila na błędy adres (chociaż to też nie jest sytuacja bez konsekwencji), ale też z niepodjęcia dalszych, odpowiednich kroków przez firmę, gdy już się o wycieku dowiedziała. Nie spełniła tym samym obowiązków związanych z poinformowaniem o incydencie UODO oraz osoby, której dane dotyczyły.

W tym wypadku to firma Warta została pociągnięta do odpowiedzialności i ona poniesie karę. Ale sytuacja ta jest cenną lekcją dla wielu administratorów danych. Jak pokazują dane UODO administratorzy danych w sytuacji ich wycieku przede wszystkim umniejszają  jego  szkodliwość  i nie informują w odpowiedni sposób o sytuacji osoby, której dane dotyczą jak i odpowiednich organów.

Przede wszystkim zgłaszać należy każdą wątpliwą sytuację, każdy wyciek danych i każde nieprawidłowe ich doręczenie także wtedy, gdy do sytuacji dochodzi z winy klienta. Lepiej wykazać się nadmierną ostrożnością niż sytuację zbagatelizować.

Źródło: https://niebezpiecznik.pl

Szczegóły sprawy: https://uodo.gov.pl/decyzje/DKN.5131.5.2020