Spółka dostała karę za niezgłoszenie w odpowiednim czasie naruszenia przepisów o ochronie danych. Chodzi o maila, którego wysłała na błędny adres. Tyle że nieprawidłowe dane podał jej sam klient.
Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji Warta S.A. karę pieniężną w wysokości 85 588 zł. W komunikacie UODO czytamy, że chodziło o "niezgłoszenie bez zbędnej zwłoki naruszenia przepisów ogólnego rozporządzenia o ochronie danych".
Urząd podaje, że w maju 2020 r. do urzędu wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych. Miało ono polegać na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji Warta S.A., polisy ubezpieczeniowej do nieuprawnionego adresata.
To klient się pomylił
Dokument zawierał dane osobowe adresata, do którego powinna być kierowana poczta, a które otrzymała osoba postronna w wyniku wysłania korespondencji na niewłaściwy adres. Spółka potwierdziła, że takie zdarzenie miało miejsce, tyle że... klient sam podał błędnie swój adres e-mail.
Co więcej, nieuprawniony odbiorca zwrócił się do spółki z zawiadomieniem o zdarzeniu. W decyzji UODO czytamy, że to zdaniem spółki pozwalało na wniosek, że odbiorca jest świadomy przepisów i wagi informacji, które otrzymał. Ponadto spółka poprosiła go o trwałe usunięcia e-maila wraz z informacją zwrotną o dokonaniu tej czynności.
Komunikat UODO informuje, że na podstawie oceny dokonanej przez spółkę pod kątem ryzyka naruszenia praw i wolności osób fizycznych, ta uznała że zdarzenie nie wymaga zawiadomienia urzędu.
Urząd zdecydował inaczej
UODO stwierdził, że do naruszenia doszło z błędu klienta, który przekazał nieprawidłowy adres e-mail. Jednak to, zdaniem urzędu, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych.
Uznał, że spółka za późno zgłosiła i zawiadomiła o naruszeniu danych osobowych osobom, których ono dotyczyło. Poza tym administrator powinien mieć świadomość możliwości podania przez klienta błędnego adresu e-mail i wprowadzić odpowiednie środki organizacyjne i techniczne w celu minimalizacji ryzyka.
Jako okoliczność łagodzącą UODO wziął pod uwagę, że naruszenie dotyczyło danych tylko dwóch osób, a sama spółka zwróciła się do niewłaściwego adresata z prośbą o usunięcie korespondencji. Decyzja urzędu jest ostateczna, ale przysługuje od niej prawo do wniesienia skargi do WSA.
O decyzję zapytaliśmy Wartę. Na ten moment spółka wstrzymała się od komentarza, gdyż decyzja wciąż jest analizowana.
Przepisy RODO
Powyższa sprawa była badana przez urząd na podstawie przepisów RODO. O tym akcie prawnym pisaliśmy w INNPoland wielokrotnie. Jego wprowadzenie przynosiło nad Wisłą wiele problemów. Miały w zamyśle pomóc mieszkańcom Europy odzyskać kontrolę nad tym, jakie dane na swój temat przekazują prywatnym podmiotom.
W chwili, gdy wchodził w życie okazało się, że nowe przepisy przyniosły wiele zamieszania. Firmy zbyt skrupulatnie podeszły do tematu wdrożenia nowego rozporządzenia. Eksperci tłumaczyli, że wokół RODO wybuchła prawdziwa panika. Firmy bały się kar za brak wdrażania przepisów i np. nagminnie zbierały oświadczenia od swoich klientów.