Kara za wysłanie polisy do niewłaściwej osoby

Kara za wysłanie polisy do niewłaściwej osoby

Kara dla WARTY za wysłanie polisy do niewłaściwej osoby. Czy można uniknąć takich kar? Czy temat stał się kontrowersyjny? Na czym polegało naruszenie?

Agent ubezpieczeniowy wysłał pocztą elektroniczną dane dotyczące polisy ubezpieczeniowej, zawierające m.in. imiona, nazwiska, adresy zamieszkania, numery PESEL oraz informacje dotyczące ubezpieczonego samochodu, do nieuprawnionego adresata. 

Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?
Prezes Urzędu Ochrony Danych Osobowych nałożył na Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. za to naruszenie karę pieniężną w wysokości 85 588 zł.

Dlaczego nałożono karę?
UODO został poinformowany o naruszeniu przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów. Organ nadzorczy zwrócił się zatem pismem do spółki o złożenie wyjaśnień, jednak spółka nadal nie zgłosiła naruszenia ochrony danych osobowych oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzorczy wszczął więc postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania spółka zgłosiła naruszenie ochrony danych osobowych oraz zawiadomiła dwie osoby, których dotyczyło naruszenie. Takie działanie spółki spowodowało, że czas trwania naruszenia był długi, co zostało uznane za okoliczność obciążającą. Tym bardziej, że od powzięcia informacji o naruszeniu ochrony danych osobowych do powiadomienia o nim organu nadzorczego upłynęło pięć miesięcy.

W toku postępowania UODO uznał również, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk Administrator powinien wprowadzić odpowiednie środki organizacyjne  i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów.

Więcej: https://uodo.gov.pl/pl/138/1801 

Czy można uniknąć takich kar? Nasza rekomendacja:
Nałożenie kolejnej kary przez Organ Nadzorczy wyznacza kierunek działań dla Administratorów danych i wskazuje obszary, które warto poddać audytowi w celu zweryfikowania poprawności stosowania organizacyjnych i technicznych środków zabezpieczeń. 

Nasi Inspektorzy Ochrony Danych rekomendują, aby zwracać szczególną uwagę na poprawność adresu e-mail, na który wysyłamy informacje będące danymi osobowymi, ponieważ tak naprawdę nie jesteśmy w stanie do końca zweryfikować adresata. Zawsze też sprawdźmy odbiorcę wiadomości, gdyż program pocztowy często podpowiada ostatniego podobnego adresata np. zaczynającego się od tego samego imienia, a w pośpiechu łatwo to przeoczyć. 

Kolejnym częstym błędem jest pomyłkowo wysłanie błędnego załącznika. Aby zapobiec takim incydentom i zminimalizować ryzyko naruszenia ochrony danych osobowych, rekomendujemy wdrożenie odpowiednich procedur, które zobowiązują osoby przesyłające dane osobowe mailem do szyfrowania przesyłanych w ten sposób danych osobowych czy dokumentów.. Hasło może zostać ustalone z danym odbiorcą wcześniej np. Hasłem może być numer PESEL tej osoby znany nadawcy i odbiorcy wiadomości lub też może być to hasło ustalone przez nadawcę wiadomości i przesłane adresatowi innym środkiem komunikacji elektronicznej, np. SMS-em lub podane w rozmowie telefonicznej. 

Rozwiązaniem podnoszącym również poziom bezpieczeństwa jest rezygnacja z przesyłania załączników i wysyłanie linków do dokumentów znajdujących się na zaszyfrowanym “wirtualnym dysku” np. Microsoft OneDrive lub równoważne. 

Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.

Skorzystaj z naszego doradztwa!