Olbrzymie kontrowersje wzbudziła niedawno opublikowana decyzja prezesa Urzędu Ochrony Danych Osobowych, który nałożył karę w wysokości 85,5 tys. zł za brak zgłoszenia naruszenia ochrony danych osobowych na Towarzystwo Ubezpieczeń i Reasekuracji Warta SA (decyzja z 9 grudnia 2020 r., nr DKN.5131.5.2020). To pokłosie postępowania przeprowadzonego w związku ze skargą, która wpłynęła w maju 2020 r. Skarżącym był nieuprawniony adresat, do którego trafiła korespondencja od agenta ubezpieczeniowego skierowana do klientów w sprawie umowy ubezpieczenia OC, zawierająca imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dotyczące ubezpieczanego auta.
Szef UODO, po wezwaniu spółki do wyjaśnień, dowiedział się, że wie ona o naruszeniu. Warta stała jednak na stanowisku, że dokonała oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych i na podstawie tej analizy doszła do wniosku, iż zaistniałe naruszenie nie wymagało zawiadomienia UODO. Spółka wskazała, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazali sami klienci. Dopiero po wszczęciu postępowania administracyjnego przez UODO spółka zdecydowała się zgłosić naruszenie oraz zawiadomić dwie osoby, których dotyczył incydent.
16,6 tys. informacji o naruszeniach danych osobowych wpłynęło do UODO od 25 maja 2018 r.
Organ nadzorczy ukarał spółkę za brak zgłoszenia wycieku danych. W uzasadnieniu podkreślił, że fakt, iż do naruszenia doszło w wyniku podania błędnego adresu e-mailowego przez klientów, nie może mieć wpływu na niezakwalifikowanie takiego zdarzenia jako naruszenia ochrony danych osobowych. UODO uważa, że administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej, powinien mieć świadomość ryzyka związanego np. z nieprawidłowym podaniem przez klienta adresu e-mail.

Konieczność weryfikacji

Decyzja UODO wywołała niemałe poruszenie w środowisku praktyków zajmujących się ochroną danych osobowych. – Dotychczas zdecydowana większość administratorów danych uważała, że nie można mówić o naruszeniu przetwarzania danych przez administratora, jeśli źródłem naruszenia jest osoba, której te dane dotyczą. UODO nie wyjaśnia wyczerpująco, dlaczego należy przyjąć odmienne stanowisko – komentuje Andrzej Boboli, IP&TMT Practice leader w kancelarii Olesiński & Wspólnicy.
W jaki sposób administrator może się chronić przed negatywnymi konsekwencjami podania przez osobę fizyczną błędnego adresu kontaktowego? Eksperci wskazują dwa możliwe sposoby.
1. Podwójne wpisywanie adresu. Wzorem niektórych sklepów internetowych wdrożyć można konieczność dwukrotnego wpisania przez klienta adresu e-mailowego. System powinien komunikować błąd w sytuacji, gdy adres nie jest identyczny w obu rubrykach.
2. Potwierdzanie w e-mailu. Warto również rozważyć mechanizm potwierdzania adresu poczty elektronicznej w sposób używany z kolei przez podmioty wysyłające newslettery. Wymagają one kliknięcia potwierdzenia w skrzynce poczty elektronicznej, że wskazany w formularzu adres jest prawidłowy – opisuje Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO sp. z o.o.

Dodatkowe zabezpieczenie

‒ W przypadku wiadomości zawierających np. szczególnie chronione kategorie danych lub numery PESEL (na które prezes UODO zwraca szczególną uwagę) należy wdrożyć dodatkowe zabezpieczenia – radzi mec. Andrzej Boboli. Prawnik wyjaśnia, że taka korespondencja powinna być szyfrowana, a zawarte w niej dokumenty zabezpieczone hasłem, które z kolei byłoby przekazane innym kanałem komunikacji (np. podczas wizyty w placówce administratora, SMS-em na numer telefonu klienta). Hasłem może być odpowiedź na zapytanie, którą zna klient, np. numer PESEL, data zawarcia umowy, pojemność silnika ubezpieczanego samochodu itp.

Przyznanie się lub konsekwentne trwanie przy swoim

Niewątpliwie wpływ na wysokość kary miało to, że spółka zdecydowała się zgłosić wyciek danych dopiero po wszczęciu postępowania przez UODO. Organ nadzorczy od dawna stoi bowiem na stanowisku, że wyciek numeru PESEL, w szczególności w powiązaniu z innymi danymi osobowymi, jak imię, nazwisko, data urodzenia i adres zamieszkania, powoduje wspomniane wysokie ryzyko – a zatem trzeba zgłosić incydent w czasie wymaganym przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; RODO). [ramka] Co więcej – kierując się wytycznymi Grupy Roboczej Art. 29 – UODO stoi na stanowisku, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.

Kiedy i jak trzeba zgłosić naruszenie

• Artykuł 33 ust. 1 i 3 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych administrator musi bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić je lokalnemu organowi nadzorczemu.
• Zgłoszenia dokonuje się, jeżeli istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Przy dokonywaniu analizy przydatna może być nie tylko wiedza ekspercka, ale również tzw. kalkulatory wagi naruszeń ochrony danych osobowych, opierające się na modelu oceny przygotowanym przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA).
• Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
• Standardowo zgłoszenie musi co najmniej:
a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których ono dotyczy;
b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (lub innego punktu kontaktowego, od którego można uzyskać więcej informacji);
c) opisywać możliwe konsekwencje naruszenia;
d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu, w tym podjęte w celu zminimalizowania ewentualnych negatywnych skutków. ©℗
– Standardowo naruszenia należy oczywiście zgłaszać wcześniej. Jeśli jednak do takiego zgłoszenia nie doszło, a UODO wszczęło kontrolę i kwestionuje dokonaną przez administratora ocenę naruszenia, naruszenie warto zgłosić. Bo można zakładać, że uchroni to administratora przed wyższą karą finansową – ocenia mec. Andrzej Boboli. I dodaje, że UODO w swoich decyzjach – również i w tym przypadku – wielokrotnie wskazywał na wagę współpracy z organem. ‒ Pójście w zaparte może być więc ocenione przez urząd jako brak współpracy, z czym wiąże się podwyższone ryzyko nałożenia kary administracyjnej – mówi mec. Boboli.
Innego zdania jest Adam Klimowski. Według niego administrator powinien samodzielnie wybrać, jaka droga jest dla niego najlepsza, w zależności od sytuacji. – Może on zgłosić naruszenie, licząc na łaskawszy wymiar kary. Albo trwać przy swoim stanowisku, że incydent nie powodował wysokiego ryzyka dla osoby fizycznej. Trzymanie się własnej interpretacji może być dobrą strategią w obliczu ewentualnego procesu sądowego – twierdzi Klimowski.
Decyzja w sprawie firmy Warta pokazuje, że dokonanie zgłoszenia naruszenia ochrony danych osobowych dopiero po wszczęciu postępowania – nie pomoże spółce. „(...) Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) Spółka podjęła dopiero na skutek formalnego wszczęcia przez Prezesa UODO postępowania administracyjnego w sprawie” – czytamy w decyzji.

Zagwarantować, ale jak

Spore kontrowersje wzbudziły fragmenty decyzji UODO kwestionujący sposób kontaktu z osobą, która przez pomyłkę weszła w posiadanie danych osobowych klienta firmy ubezpieczeniowej. Osoba ta zwróciła się do spółki, a ta poprosiła o trwałe usunięcie wiadomości oraz informację zwrotną potwierdzającą jej usunięcie. Organ nadzorczy ocenił, że takie działanie nie gwarantuje faktycznego usunięcia danych przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania.
Adam Sanocki, rzecznik prasowy UODO, radzi, by w przypadku, gdy administrator ma informacje, że odbiorca może posługiwać się tymi danymi (dalej je przetwarzać bądź wykorzystywać je w celach przestępczych), zawiadomić organy ścigania i przekazać im informacje pozwalające zidentyfikować taką osobę – choćby adres e-mail, na który omyłkowo wysłał dane osobowe.