ERGO Hestia S.A. z karą pieniężną w wysokości prawie 160 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu oraz niezawiadomienie osoby, której dane dotyczą o naruszeniu. Co zrobić, aby uniknąć takich kar?
Na czym polegało naruszenie?
Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą.
Jaką karę nałożył Prezes Urzędu Ochrony Danych Osobowych?
Prezes Urzędu Ochrony Danych Osobowych nałożył na ERGO Hestię Spółkę Akcyjną administracyjną karę pieniężną w wysokości 159.176 zł, co stanowi równowartość 35.000 euro.
Dlaczego nałożono karę?
Naruszenie danych osobowych polegało na wysłaniu pocztą elektroniczną, przez pracownika pośrednictwa finansami, do niewłaściwego odbiorcy, analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. Podmiot, który dokonał naruszenia, występował jednocześnie w roli podmiotu przetwarzającego towarzystw ubezpieczeniowych, dlatego też zawiadomił je o naruszeniu. Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A.
Prezes Urzędu Ochrony Danych Osobowych w wydanej decyzji administracyjnej wskazuje, że „Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od podmiotu przetwarzającego oraz skierowanego do niej pisma Prezesa UODO informującego o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji, o tym w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą. Takie zaniechanie w tym zakresie, pomimo obowiązku działania ,,bez zbędnej zwłoki”, sprawiło, że osobie fizycznej uniemożliwiono możliwie najszybsze podjęcie działań, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia, co z kolei nie pozostaje bez wpływu na ich skuteczność w przypadku wykonania tego obowiązku przez Spółkę.”
Więcej: https://uodo.gov.pl/pl/138/2096
Czy można uniknąć takich kar?
W ocenie Prezesa Urzędu Ochrony Danych Osobowych administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także ich usunięcie lub przynajmniej ograniczenie.
Nasza rekomendacja:
W związku z tym nasi Inspektorzy Ochrony Danych rekomendują:
- Wdrożenie procedur bezpieczeństwa w zakresie przekazywania dokumentów zawierających dane osobowe za pośrednictwem poczty elektronicznej lub na nośnikach danych.
- Zapewnienie personelowi cyklicznych szkoleń z zakresu ochrony danych osobowych, w tym również w zakresie procedur wdrożonych u administratora.
- Regularne audyty ochrony danych osobowych w celu oceny ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia.
- Korzystanie ze wsparcia wyznaczonego Inspektora Ochrony Danych przy ocenie charakteru i wagi naruszenia, a tym samym ocenie ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Przy ocenie należy wziąć pod powagę naruszenia w kontekście wielkości szkody, jakie może ono spowodować w odniesieniu do osoby, której dane dotyczą oraz prawdopodobieństwo wystąpienia tego zdarzenia będącego skutkiem naruszenia. Poza tym konieczne jest uwzględnienie czy ujawnione dane dotyczą szczególnej kategorii danych (tzw. dane wrażliwe np. informacje o stanie zdrowia), czy dotyczą dzieci, jak duża ilość danych osobowych została ujawniona i ilu osób dotyczy. Analiza ta powinna być szczegółowa i uwzględniać wszystkie okoliczności zdarzenia.
- Sukcesywne przekazywanie informacji o naruszeniu Organowi Nadzorczemu, jeżeli nie dysponujemy w 100% informacjami dotyczącymi danego naruszenia danych osobowych. Ważne, żeby wstępnego zgłoszenia naruszenia ochrony danych osobowych dokonać w ciągu 72 godzin od stwierdzenia naruszenia.
- Naruszenie ochrony danych osobowych, którego dotyczy nałożona kara, miało miejsce u podmiotu przetwarzającego, który zawiadomił Spółkę o naruszeniu. Firma zajmująca się pośrednictwem ubezpieczeniowym, działając jako procesor (podmiot przetwarzający) Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A. (administratora danych) nieumyślnie ujawniła dane osobowe nieuprawnionej osobie. O naruszeniu ochrony danych osobowych, którego dotyczy nałożona kara, procesor zawiadomił Spółkę, która odpowiada za działanie procesora, przed organem nadzoru oraz przed osobami, których dane dotyczą. To pokazuje, jak ważna jest relacja: podmiot przetwarzający – administrator. Wybór procesora nigdy nie może być przypadkowy, a zawarta umowa powierzenia przetwarzania danych osobowych powinna zawierać odpowiednie zapisy odnośnie informowania administratora o ewentualnych naruszeniach.
Zadbaj o bezpieczeństwo Twoich danych osobowych i skontaktuj się z nami, a pomożemy Ci znaleźć optymalne rozwiązanie na podniesienie poziomu bezpieczeństwa.
Autor: Monika Kowalik, Dyrektor Projektu, CompNet Sp. z o.o.