W maju 2020r. do Urzędu Ochrony Danych Osobowych (UODO) wpłynęło zawiadomienie od osoby postronnej o tym, iż doszło do naruszenia ochrony danych osobowych, które polegało na przesłaniu pocztą elektroniczną polisy ubezpieczeniowej do nieuprawnionego adresata przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A. Dokument zawierał dane osobowe m.in. nazwisk, imion, numerów PESEL, adresów zamieszkania a także informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy).
Bardzo ważny w tej sprawie jest fakt iż organ nadzorczy został zawiadomiony o naruszeniu ochrony danych osobowych przez nieuprawnionego odbiorcę, który wszedł w posiadanie dokumentów, które nie były przeznaczone dla niego. W związku z tym doszło do naruszenia poufności danych osób. Organ nadzorczy wystosował prośbę do spółki o wyjaśnienie czy w zaistniałej sytuacji została dokonana analiza ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia UODO oraz osób, których dotyczy naruszenie. Organ nadzorczy wskazał spółce jak może dokonać zgłoszenia naruszenia, a także wezwał do złożenia wyjaśnień.
Spółka przyznała, że doszło do naruszenia ochrony danych osobowych, a także że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na tej podstawie ukarana spółka uznała, że zaistniałe naruszenie nie wymaga powiadomienia UODO. Spółka stwierdziła, że naruszenie powstało przez wysłanie dokumentu polisy ubezpieczeniowej na nieprawidłowy adres poczty elektronicznej, który podał klient.
Mimo prośby UODO o wyjaśnienia, spółka nadal nie zgłosiła naruszenia ochrony danych osobowych oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzoru wszczął postępowanie administracyjne. W wyniku wszczęcia tego postępowania spółka zgłosiła naruszenie ochrony danych osobowych i zawiadomiła dwie osoby, których dotyczy przewinienie.
W trakcie postepowania UODO uznał, że fakt, iż doszło do naruszenia przez błąd klienta, który przekazał niepoprawny adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator powinien mieć świadomość jakie jest ryzyko związane np. z nieprawidłowym podaniem przez klienta adresu e-mail, aby zminimalizować ryzyko powinien wprowadzić odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych dokumentów.
Przez naruszenie przepisów Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Organ nadzorczy nałożył na spółkę karę pieniężną w wysokości 85 588 zł. Prezes UODO nakładając karę administracyjną wziął pod uwagę okoliczności łagodzące takie iż naruszenie dotyczyło danych osobowych dwóch osób i że spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji.
Cała treść decyzji można przeczytać pod linkiem:
