Niedawno na\u0142o\u017cona kara w zakresie ochrony danych osobowych na pewien podmiot wzbudzi\u0142a niema\u0142e kontrowersje. G\u0142\u00f3wnie w zakresie konkretnego stanu faktycznego, kt\u00f3ry tam mia\u0142 miejsce. <\/p>\n\n\n\n

Stan faktyczny: Klient wskaza\u0142 b\u0142edny adres e-mial do wys\u0142ania polisy ubezpieczeniowej. Podmiot, kt\u00f3\u00aey to zrobi\u0142 nie mia\u0142 wiedzy, \u017ce adres e-mail jest b\u0142\u0119dy, bo co do zasady zak\u0142ada\u0142, \u017ce skoro klient go poda\u0142 to oznacza, \u017ce jest uprawniony do pos\u0142ugiwania si\u0119 danym adresem. <\/p>\n\n\n\n

Na wskazany przez klienta adres e-mial zosta\u0142a wys\u0142ana polisa ubezpieczeniowa. <\/p>\n\n\n\n

Do Urz\u0119du Ochrony Danych Osobowych (UODO) w maju 2020 r. wp\u0142yn\u0119\u0142a informacja od osoby postronnej o naruszeniu ochrony danych osobowych, kt\u00f3re polega\u0142o na wys\u0142aniu poczt\u0105 elektroniczn\u0105 przez agenta ubezpieczeniowego, b\u0119d\u0105cego podmiotem przetwarzaj\u0105cym dla Towarzystwa Ubezpiecze\u0144 polisy ubezpieczeniowej do nieuprawnionego adresata.<\/p>\n\n\n\n

Za\u0142\u0105czony dokument zawiera\u0142  dane osobowe w zakresie m.in. imion, nazwisk, adres\u00f3w zamieszkania, numer\u00f3w PESEL oraz informacji dotycz\u0105cych przedmiotu ubezpieczenia (samoch\u00f3d osobowy). Istotny w tej sprawie jest fakt, \u017ce organ nadzorczy zosta\u0142 poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, kt\u00f3ry wszed\u0142 w posiadanie nieprzeznaczonych dla niego dokument\u00f3w, w zwi\u0105zku z czym dosz\u0142o do naruszenia poufno\u015bci danych os\u00f3b.<\/p>\n\n\n\n

Co nast\u0105pi\u0142o dalej:<\/p>\n\n\n\n

1. Organ zg\u0142osi\u0142 si\u0119 do wskazanej sp\u00f3\u0142ki o wyja\u015bnienie sytuacji<\/li>
2. Sp\u00f3\u0142ka potwierdzi\u0142a, “\u017ce dosz\u0142o do incydentu zwi\u0105zanego z naruszeniem ochrony danych osobowych oraz, \u017ce zosta\u0142a dokonana ocena pod k\u0105tem ryzyka naruszenia praw i wolno\u015bci os\u00f3b fizycznych. To w\u0142a\u015bnie na jej podstawie ukarana sp\u00f3\u0142ka uzna\u0142a, i\u017c zaistnia\u0142e naruszenie nie wymaga zawiadomienia UODO. Sp\u00f3\u0142ka uzna\u0142a, \u017ce naruszenie powsta\u0142o na skutek wys\u0142ania dokumentu polisy ubezpieczeniowej na b\u0142\u0119dny adres poczty elektronicznej, kt\u00f3ry wskaza\u0142 sam klient. Ponadto nieuprawniony odbiorca zwr\u00f3ci\u0142 si\u0119 do sp\u00f3\u0142ki, a ta poprosi\u0142a o trwa\u0142e usuni\u0119cie wiadomo\u015bci wraz z pro\u015bb\u0105 o informacj\u0119 zwrotn\u0105 potwierdzaj\u0105c\u0105 jej usuni\u0119cie<\/em>.”<\/li>
3. Pomimo pisma UODO z pro\u015bb\u0105 o wyja\u015bnienia, sp\u00f3\u0142ka nadal nie zg\u0142osi\u0142a naruszenia ochrony danych osobowych oraz nie powiadomi\u0142a o incydencie os\u00f3b, kt\u00f3rych dotyczy\u0142o naruszenie. Organ nadzoru wszcz\u0105\u0142 wi\u0119c post\u0119powanie administracyjne. <\/li><\/ol>\n\n\n\n

   W toku post\u0119powania UODO uzna\u0142, \u017ce fakt, i\u017c do naruszenia dosz\u0142o w wyniku b\u0142\u0119du klienta, kt\u00f3ry przekaza\u0142 nieprawid\u0142owy adres mailowy, nie mo\u017ce mie\u0107 wp\u0142ywu na  niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych<\/strong>. “Administrator dopuszczaj\u0105c mo\u017cliwo\u015b\u0107 wykorzystania do komunikacji z klientem poczty elektronicznej powinien mie\u0107 \u015bwiadomo\u015b\u0107 ryzyk zwi\u0105zanych np. z nieprawid\u0142owym podaniem przez klienta adresu e-mail. W zwi\u0105zku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzi\u0107 odpowiednie \u015brodki organizacyjne  i techniczne, jak np. weryfikacja podanego adresu, czy te\u017c szyfrowanie przesy\u0142anych w ten spos\u00f3b dokument\u00f3w<\/em>.”<\/p>\n\n\n\n

   Dodatkowo w decyzji organ wskaza\u0142, \u017ce “nie ma wp\u0142ywu fakt zwr\u00f3cenia si\u0119 z pro\u015bb\u0105 do niew\u0142a\u015bciwego odbiorcy o trwa\u0142e usuni\u0119cie otrzymanej korespondencji. Nie ma bowiem pewno\u015bci, \u017ce przed tymi czynno\u015bciami osoba ta nie wykona\u0142a np. kserokopii lub te\u017c nie utrwali\u0142a zawartych w tre\u015bci dokumentu danych osobowych w inny spos\u00f3b, np. poprzez ich spisanie. Samo usuni\u0119cie korespondencji nie daje zatem \u017cadnych gwarancji, \u017ce intencje takiej osoby obecnie  lub w przysz\u0142o\u015bci nie zmieni\u0105 si\u0119, a ewentualne konsekwencje pos\u0142u\u017cenia si\u0119 takimi kategoriami danych mog\u0105 by\u0107 znacz\u0105ce dla os\u00f3b, kt\u00f3rych dane obj\u0119te zosta\u0142y naruszeniem. To samo dotyczy ewentualnego o\u015bwiadczenia o zniszczeniu otrzymanej korespondencji, bowiem Sp\u00f3\u0142ka nie ma mo\u017cliwo\u015bci jego faktycznej weryfikacji.<\/em> “<\/p>\n\n\n\n

   Pe\u0142na tre\u015b\u0107 decyzji: TU<\/a><\/p>\n\n\n\n

   Bez w\u0105tpienia jest to ogromna kontrowersyjna decyzja. I o ile, dane wyciek\u0142y i rzeczywi\u015bcie co do zasady incydent powinien taki zosta\u0107 zg\u0142oszony, o tyle kara jest rzeczywi\u015bcie du\u017ca jak na fakt, \u017ce b\u0142\u0119dny e-mail zosta\u0142 podany przez klienta. My\u015bl\u0119, \u017ce ka\u017cdy kto jest przedsi\u0119biorc\u0105 i ma do czynienia z e-mailami klient\u00f3w doskonale wie, \u017ce zawsze kto\u015b mo\u017ce zrobi\u0107 liter\u00f3wk\u0119, czy chocia\u017cby si\u0119 pomyli\u0107. Jednak UODO wskaza\u0142, \u017ce:<\/p>\n\n\n\n

   “Co wi\u0119cej, naruszenie wi\u0105\u017ce si\u0119 r\u00f3wnie\u017c, zgodnie z art. 35 ust. 1 ustawy z dnia 11 wrze\u015bnia 2015 r. o dzia\u0142alno\u015bci ubezpieczeniowej i reasekuracyjnej (Dz. U. 2020 poz. 895, z p\u00f3\u017an. zm.), z naruszeniem tajemnicy ubezpieczeniowej, co wyra\u017anie podnosi wag\u0119 naruszenia i uzasadnia jego surowsz\u0105 ocen\u0119.”<\/p>\n\n\n\n

   Dodatkowo Organ (UODO) wzi\u0105\u0142 pod uwag\u0119 nast\u0119puj\u0105ce okoliczno\u015bci sprawy, stanowi\u0105ce o konieczno\u015bci zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wp\u0142ywaj\u0105ce obci\u0105\u017caj\u0105co na wymiar na\u0142o\u017conej kary pieni\u0119\u017cnej:<\/p>\n\n\n\n

   a) Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   b) Umy\u015blny charakter naruszenia (art. 83 ust. 2 lit. b rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   c) Stopie\u0144 odpowiedzialno\u015bci administratora z uwzgl\u0119dnieniem \u015brodk\u00f3w technicznych  i organizacyjnych wdro\u017conych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   d) Stopie\u0144 wsp\u00f3\u0142pracy z organem nadzorczym w celu usuni\u0119cia naruszenia oraz z\u0142agodzenia jego ewentualnych negatywnych skutk\u00f3w (art. 83 ust. 2 lit. f rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   e) Kategorie danych osobowych, kt\u00f3rych dotyczy\u0142o naruszenie (art. 83 ust. 2 lit. g rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   f) Spos\u00f3b w jaki organ nadzorczy dowiedzia\u0142 si\u0119 o naruszeniu (art. 83 ust. 2 lit. h rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   Ustalaj\u0105c wysoko\u015b\u0107 administracyjnej kary pieni\u0119\u017cnej, Prezes UODO uwzgl\u0119dni\u0142 r\u00f3wnie\u017c okoliczno\u015bci \u0142agodz\u0105ce, maj\u0105ce wp\u0142yw na ostateczny wymiar kary, tj.:<\/p>\n\n\n\n

   a) Liczba poszkodowanych os\u00f3b, kt\u00f3rych dane dotycz\u0105 (art. 83 ust. 2 lit. a rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   b) Dzia\u0142ania podj\u0119te przez administratora lub podmiot przetwarzaj\u0105cy w celu zminimalizowania szkody poniesionej przez osoby, kt\u00f3rych dane dotycz\u0105 (art. 83 ust. 2 lit. c rozporz\u0105dzenia 2016\/679).<\/p>\n\n\n\n

   a) stosowne wcze\u015bniejsze naruszenia przepis\u00f3w rozporz\u0105dzenia 2016\/679 dokonane przez Sp\u00f3\u0142k\u0119 (art. 83 ust. 2 lit. e rozporz\u0105dzenia 2016\/679);<\/p>\n\n\n\n

   b) przestrzeganie wcze\u015bniej zastosowanych w tej samej sprawie \u015brodk\u00f3w, o kt\u00f3rych mowa w art. 58 ust. 2 rozporz\u0105dzenia 2016\/679 (art. 83 ust. 2 lit. i rozporz\u0105dzenia 2016\/679);<\/p>\n\n\n\n

   c) stosowanie zatwierdzonych kodeks\u00f3w post\u0119powania na mocy art. 40 rozporz\u0105dzenia 2016\/679 lub zatwierdzonych mechanizm\u00f3w certyfikacji na mocy art. 42 rozporz\u0105dzenia 2016\/679 (art. 83 ust 2 lit. j rozporz\u0105dzenia 2016\/679);<\/p>\n\n\n\n

   d) osi\u0105gni\u0119te bezpo\u015brednio lub po\u015brednio w zwi\u0105zku z naruszeniem korzy\u015bci finansowe lub unikni\u0119te straty (art. 83 ust. 2 lit. k).<\/p>\n\n\n\n

   Czekamy na dalszy rozw\u00f3j sytuacji, bo z pewno\u015bci\u0105 podmiot skorzysta z opcji z\u0142o\u017cenia przys\u0142uguj\u0105cego mu prawa wniesienia skargi do Wojew\u00f3dzkiego S\u0105du Administracyjnego w Warszawie, w terminie 30 dni od dnia jej dor\u0119czenia, za po\u015brednictwem Prezesa Urz\u0119du Ochrony Danych Osobowych.<\/p>\n\n\n\n

   \u017ar\u00f3d\u0142o: uodo.gov.pl, https:\/\/uodo.gov.pl\/decyzje\/DKN.5131.5.2020<\/p>\n\n\n\n

   _______________________________<\/p>\n\n\n\n

   Podana powy\u017cej tre\u015b\u0107 nie jest opini\u0105 prawn\u0105 ani porad\u0105 prawn\u0105. Wszelkie decyzje powinny by\u0107 podejmowane na podsatwie dok\u0142adnej analizy ryzyka oraz weryfikacji prawnej. Tylko dok\u0142adna weryfikacja stanu faktycznego Twojej sprawy umo\u017cliwia wskazanie najlepszych rozwi\u0105za\u0144 prawnych w Twojej sprawie. W tym celu skontaktuj si\u0119 z prawnikiem. Artyku\u0142y zamieszczone na stronie s\u0105 aktualne na dzie\u0144 publikacji, z racji tego, \u017ce prawo cz\u0119sto si\u0119 zmienia mniej na uwadze to, \u017ce podane informacje mog\u0105 by\u0107 ju\u017c nieaktualne.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

   Niedawno na\u0142o\u017cona kara w zakresie ochrony danych osobowych na pewien podmiot wzbudzi\u0142a niema\u0142e kontrowersje. G\u0142\u00f3wnie w zakresie konkretnego stanu faktycznego, kt\u00f3ry tam mia\u0142 miejsce. Stan faktyczny: Klient wskaza\u0142 b\u0142edny adres e-mial do wys\u0142ania polisy ubezpieczeniowej. […]<\/a><\/p>\n<\/div>","protected":false},"author":1,"featured_media":1729,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,328],"tags":[592,52,593,54],"jetpack_featured_media_url":"https:\/\/kosmetykaprawo.pl\/wp-content\/uploads\/2021\/03\/Zrzut-ekranu-2021-03-18-o-15.00.46.png","_links":{"self":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/1571"}],"collection":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/comments?post=1571"}],"version-history":[{"count":2,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/1571\/revisions"}],"predecessor-version":[{"id":1631,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/posts\/1571\/revisions\/1631"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/media\/1729"}],"wp:attachment":[{"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/media?parent=1571"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/categories?post=1571"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kosmetykaprawo.pl\/wp-json\/wp\/v2\/tags?post=1571"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}