Wiadomości

31.12.2020

Skutki braku zgłoszenia naruszenia ochrony danych

Brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki powodem nałożenia kary przez Urząd Ochrony Danych Osobowych.

Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych. Organ nadzorczy nałożył więc na spółkę karę pieniężną w wysokości 85 588 zł. W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych tylko dwóch osób.

Do Urzędu Ochrony Danych Osobowych (UODO) w maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata.

Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.

W komentarzu dr Pawła Litwińskiego z Kancelarii Radców Prawnych i Adwokatów Barta Litwiński na łamach Dziennika Ubezpieczeniowego możemy przeczytać: "(…) przecież nie zgłaszamy każdego naruszenia i nie informujemy o każdym naruszeniu! Co więc takiego się stało? Naruszenie polegało na tym, że pocztą elektroniczną do niewłaściwej osoby wysłano polisę, która zawierała dane osobowe dwóch osób, w tym numer PESEL".

W decyzji UODO wg Mecenasa Litwińskiego cyt.: "Rzuca się w oczy płynne przejście z "ryzyka" na "wysokie ryzyko", bez jakiegokolwiek uzasadnienia - a przecież w odpowiednich przepisach RODO mamy zupełnie inną terminologię: małe prawdopodobieństwo wystąpienia ryzyka i wysokie ryzyko, które może być spowodowane naruszeniem. Z drugiej strony dla osób, które śledzą orzecznictwo w podobnych sprawach, decydującym elementem układanki jest nr PESEL: otóż Prezes UODO od wielu lat łączy z faktem ujawnienia numeru PESEL istnienie wysokiego poziomu ryzyka dla praw i wolności osób fizycznych. Niestety, nie wiemy do końca, dlaczego tak właśnie jest, jako że jak dotychczas nie sposób było odnaleźć przekonujące uzasadnienie takiego poglądu, poza przykładami medialnymi. Nie wiemy, w jaki sposób Towarzystwo oceniało ryzyko naruszenia praw i wolności w wyniku naruszenia i prawdopodobieństwo jego ziszczenia się; nie wiemy, na ile przekonująca jest argumentacja o tym, że nie mamy tutaj wysokiego ryzyka. Będzie to natomiast pierwszy znany mi przypadek, w którym ta tzw. PESELoza zostanie zweryfikowana przez sąd administracyjny."

www.uodo.gov.pl

Decyzja UODO
https://uodo.gov.pl/decyzje/DKN.5131.5.2020.

wróć do listy wiadomości