Wielu administratorów danych osobowych przekonanych jest o tym, iż w przypadku gdy osoba fizyczna (przykładowo klient) błędnie poda swoje dane, nie są oni zobowiązani do zgłoszenia naruszenia danych osobowych, przykładowo gdy nastąpi wyciek danych. Nie jest to jednak tak oczywiste ! Ostatnio bowiem Prezes Urzędu Ochrony Danych Osobowych wydał decyzję nakładającą karę finansową – 85 588 złotych. O czym pamiętać by zminimalizować ryzyko nałożenia kary przez UODO ? Jak prawidłowo ocenić ryzyko naruszenia praw i wolności osób fizycznych niezbędne do rozważenia, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia? Kiedy na pewno zgłaszać naruszenie danych osobowych?

Gdy klient poda błędne dane osobowe

Jedna z ostatnich kar administracyjnych przez Prezesa UODO dotyczy sytuacji, w której osoba fizyczna podała błędnie swoje dane- chodziło o niepoprawny adres poczty elektronicznej przekazany towarzystwu ubezpieczeń. Na tak błędnie wskazany adres zostały następnie wysłane przez towarzystwo ubezpieczeń dokumenty polisy ubezpieczeniowej. O nieprawidłowości danych poinformowała administratora osoba, która omyłkowo otrzymała maila z dokumentami.  Doszło do ujawnienia danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

Towarzystwo ubezpieczeniowe podjęło decyzję o niezgłaszaniu faktu naruszenia do Urzędu Ochrony Danych Osobowych. I może sprawa nie wyszłaby na jaw, gdyby nie osoba, do której wysłano omyłkowe dane. To właśnie ona zgłosiła fakt otrzymania dokumentów ubezpieczeniowych innej osoby do Urzędu.

Prawidłowa ocena ryzyka

Początkowo Prezes UODO zwrócił się do Spółki o wyjaśnienie, czy  w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679).

W odpowiedzi administrator danych potwierdził, że naruszenie ochrony danych osobowych polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy miało miejsce. Ponadto, wskazano, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na jej podstawie Spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO, ponieważ:

• klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej,
• nieuprawniony odbiorca zwrócił się do Spółki, a więc w ocenie Spółki można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał.

Spółka przyjęła brak wysokiego prawdopodobieństwa negatywnych skutków dla osób, których dane dotyczą, poprzez nieuprawnione wykorzystanie ich danych oraz wskazała na zastosowany środek naprawczy w postaci skierowania do nieuprawnionego odbiorcy prośby o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie. Czy stanowisko administratora było prawidłowe ? W ocenie Urzędu – nie !

Nie ważne jak dojdzie do naruszenia- istotny jest skutek !

Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Prezes UODO zaznaczył również, że z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.

Do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, jednak nie może mieć to wpływu na ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych.

Istotny jest skutek – jest nim bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych.

Dla oceny ryzyka istotny jest zakres naruszonych danych osobowych

Z uwagi na to, że wskazane naruszenie poufności danych dotyczy numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania, numerami telefonów oraz adresami poczty elektronicznej, to w ocenie Prezesa Urzędu Ochrony Danych Osobowych należy uznać, że może ono wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Kara nie została nałożona od razu w opisywanej sprawie. Prezes UODO ponownie wezwał Spółkę do złożenia wyjaśnień. Spółka wskazała, że w jej ocenie  w przedmiotowym przypadku nie wystąpiło wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, ponieważ dane zostały ujawnione tylko nieuprawnionemu obiorcy, który sam zwrócił się do Spółki z zawiadomieniem o zdarzeniu. W ocenie Spółki prawdopodobieństwo posłużenia się tymi informacjami w sposób nieuprawniony lub wyrządzenia innej szkody, jest niskie.

Kara pieniężna za naruszenie RODO

Art. 33 ust. 1 i 3 RODO stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Art. 34 ust. 1 RODO wskazuje, że w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.

Po pierwsze w ocenie Prezesa UODO naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, polegającym na przesłaniu polisy ubezpieczeniowej do nieuprawnionego odbiorcy, w szczególności danych dotyczących numerów PESEL wraz z pozostałymi danymi osobowymi, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z RODO, wskazała, że „ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”.

Kluczowym dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. Według Prezesa UODO dla oceny nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem żadnej gwarancji, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Spółka nie ma możliwości faktycznej weryfikacji złożonego przez nieuprawnionego odbiorcę danych oświadczenia. W ocenie organu nadzorczego odbiorcy nie można w tym przypadku uznać za „zaufanego”.

Bez znaczenia jest również fakt, że do naruszenia ochrony danych osobowych doszło z uwagi na to, że to sami klienci Spółki podali błędny adres poczty elektronicznej, na który miała zostać przesłana polisa. W ocenie Prezesa UODO administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientem pocztę elektroniczną powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów

Trzeba pamiętać o motywie 85 preambuły RODO w którym wyjaśniono, że „przy braku odpowiedniej  i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki”.

Dokonując własnej oceny ryzyka naruszenia praw lub wolności osób warto mieć na uwadze kryteria, jakimi kierował się Prezes UODO przy nakładaniu na Spółkę kary finansowej:

• Charakter i waga naruszenia- stwierdzone, że naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.
• Czas trwania naruszenia- uznano długi czas trwania naruszenia.  Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych (maj  2020 r.) do wywiązania się przez nią z obowiązków, upłynęło pięć miesięcy;
• Umyślny charakter naruszenia – Spółka podjęła świadomą decyzję, by początkowo nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą, pomimo powzięcia informacji o zdarzeniu od nieuprawnionego odbiorcy oraz kierowanych do niej pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie.
• Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 RODO- stwierdzone naruszenie miało związek z brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, tj. weryfikacji adresów mailowych wskazywanych przez klientów czy szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych.
• Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków – w niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki.
• Kategorie danych osobowych, których dotyczyło naruszenie – dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, jednak ich szeroki zakres (imiona i nazwiska, adresy zamieszkania lub korespondencyjne, numery PESEL, numery telefonów, adresy poczty elektronicznej oraz informacje dotyczące przedmiotu ubezpieczenia – samochodu osobowego, zakresu ubezpieczenia, płatności, cesji, a także dodatkowe zapisy wynikające z umowy), wiąże się z wysokim ryzykiem naruszenia praw  i wolności osób fizycznych.
• Sposób w jaki organ nadzorczy dowiedział się o naruszeniu –  tu o  naruszeniu ochrony danych osobowych Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą.
• Okolicznością łagodzącą, był fakt, iż naruszenie dotyczy jedynie dwóch osób fizycznych.

Rozważając zatem czy w danej sytuacji należy dokonać zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego, nie należy kierować się jedynie tym, iż dane osobowe błędnie przekazał nam sam klient. To zasadniczo pozostaje bez znaczenia dla oceny ryzyka. Istotnym jest zakres danych jaki został ujawniony, w kontekście oceny jak mogą zostać wykorzystane przez nieuprawnionego odbiorcę ze szkodą dla osoby fizycznej, której dane dotyczą.

Wnioski wynikające z dzisiejszego kazusu ? Warto obrać postawę ostrożnościową i „dmuchając na zimne”, zgłaszać organowi nadzorczemu wszelkie naruszenia, które chociażby w minimalnym stopniu (ale jednak) mogą wiązać się z negatywnymi skutkami i ryzykiem dla osób fizycznych, których te dane dotyczą.