Administrator powinien przeprowadzić rzetelną analizę ryzyka

88

Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. w wysokości prawie 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych. Ponadto spółkę ukarano za niezawiadomienie osoby, której dane dotyczą o naruszeniu, do czego zobowiązał ją także organ nadzorczy.  

UODO o zaistniałej sytuacji poinformowała firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych. Naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika pośrednictwa finansami do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska,  zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. Podmiot, który dokonał naruszenia, występował jednocześnie w roli podmiotu przetwarzającego towarzystw ubezpieczeniowych, dlatego też zawiadomił je o naruszeniu. Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A..

UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie. Odnotować należy, że oceny dokonano, posługując się formularzem opracowanym przez Spółkę.  Co więcej, przeprowadzona przez Spółkę analiza ryzyka, budziła wątpliwości organu nadzorczego i nie została dokonana w sposób prawidłowy. Błędy, jak również nieprawidłowości w przeprowadzonej ocenie polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą Spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom.

Ponadto spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości, z którego wynika, że nie jest w posiadaniu wysłanych dokumentów, oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Jednak oświadczenie takie nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości.

Zdaniem UODO w tej sprawie doszło do naruszenia bezpieczeństwa, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, którego nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. To skutkuje powstaniem po stronie spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.

W ocenie UODO zastosowana kara pieniężna będzie skuteczna i spełni swoją funkcję.

źródło: UODO

Treść tylko dla zalogowanych Użytkowników!