Administrator poniesie karę za brak weryfikacji danych teleadresowych klienta

Na mocy Decyzji Prezesa Urzędu Ochrony Danych Osobowych z dnia 9 grudnia 2020 roku została nałożona kolejna kara pieniężna za naruszenie przepisów o ochronie danych osobowych[1].

Podstawą nałożenia kary był brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki przez administratora, który uznał zdarzenie polegające na przesłaniu za pośrednictwem poczty elektronicznej przez podmiot przetwarzający polisy ubezpieczeniowej do nieuprawnionego adresata za incydent związany z naruszeniem ochrony danych osobowych. Tym niemniej pomimo identyfikacji incydentu, w wyniku dokonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych administrator stwierdził, że zaistniałe naruszenie nie wymaga zawiadomienia ani podmiotu danych, ani Prezesa Urzędu Ochrony Danych Osobowych (dalej: Prezes UODO).

Prezes UODO nie podzielił stanowiska administratora (TUiR WARTA S.A. z siedzibą w Warszawie) i nałożył na niego karę pieniężną w wysokości 85.588,00 złotych. W ocenie Prezesa UODO w wyniku w/w zdarzenia doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub adresów korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy.

Prezes UODO w w/w Decyzji wskazał, że:

„Z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność[2].

W świetle stanowiska Prezesa UODO, nie są istotne przyczyny naruszenia, ale sam fakt wykroczenia poza ramy prawidłowego postępowania. Przedmiotową sytuację można porównać np. z dokonaniem zapłaty faktury za zakup towarów lub usług poprzez przelanie środków na niewłaściwy numer rachunku bankowego. W tej sytuacji nie jest ważne, z jakich przyczyn doszło do realizacji niewłaściwej transakcji - ważny jest jedynie fakt niewłaściwego opłacenia zobowiązania.

Praca pod presją czasu oraz rutyna powodują, że pracownicy lub podmioty przetwarzające mogą popełniać błędy, które pociągają za sobą znaczące konsekwencje nie tylko dla pracownika czy podmiotu przetwarzającego, ale w szczególności dla administratora danych (pracodawcy/kontrahenta), na którym ciąży obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby przetwarzanie odbywało zgodnie z przepisami o ochronie danych osobowych (art. 24 RODO). Z tego też względu czynności służbowe pracowników oraz podmiotów przetwarzających (kontrahentów) powinny być wykonywane za pomocą narzędzi udostępnionych przez pracodawcę oraz w środowisku do tego przeznaczonym i przy zachowaniu wszelkich możliwych środków ostrożności, m.in. takich jak hasłowanie lub szyfrowanie przesyłanych plików zawierających dane osobowe klientów, kontrahentów czy też samych pracowników. Hasłowanie plików może zabezpieczyć zarówno pracownika, pracodawcę jak i sam podmiot przetwarzający przed negatywnymi konsekwencjami w przypadku przesłania wiadomości do niewłaściwego adresata, ponieważ w braku znajomości hasła nieuprawniony adresat nie zapozna się z treścią wiadomości, a tym samym nie dojdzie do naruszenia poufności danych osobowych.


[1] https://uodo.gov.pl/decyzje/DKN.5131.5.2020, dostęp: 19.01.2021.
[2] Ibidem.

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w ustawieniach przeglądarki.

Rozumiem