Kolejna kontrowersyjna decyzja Prezesa UODO?
Czy administrator odpowie za błąd klienta.
Sprawa dotyczyła naruszenia przez Towarzystwo Ubezpieczeniowe i Reasekuracyjne Warta („TUiR Warta”) przepisów RODO dotyczących zgłaszania naruszenia ochrony danych osobowych w przewidzianym terminie. W konsekwencji naruszenia przepisów RODO, Prezes UDODO nałożył na TUiR Warta karę w wysokości 85.588 zł.
Okoliczności sprawy nie były skomplikowane. Naruszenie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego polisy ubezpieczeniowej, zawierającej dane osobowe, do nieuprawnionego adresata, w wyniku czego doszło do naruszenia poufności danych dwóch osób w zakresie mi.in. imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów oraz adresów poczty elektronicznej.
Istotne w tej sprawie były następujące fakty:
- zgłoszenie dotyczące naruszenia ochrony danych osobowych skierował do UODO adresat korespondencji mailowej, a nie towarzystwo ubezpieczeniowe,
- klient sam podał nieprawidłowy adres poczty elektronicznej, co było główną przyczyną incydentu.
Zdaniem Prezesa UODO fakt, że to sam klient podał błędny adres poczty mailowej nie może mieć wpływu na ocenę tego zdarzenia tj. zakwalifikowanie go jako naruszenia ochrony danych osobowych. Jego skutkiem było bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych.
W odniesieniu do zauważonego naruszenia Spółka uznała, że nie zachodziło wysokie prawdopodobieństwo negatywnych skutków dla ochrony danych osobowych, wobec czego skierowała do nieuprawnionego odbiorcy jedynie prośbę o trwałe usunięcie wiadomości mailowej oraz o potwierdzenie wykonania tej prośby. TUiR Warta założyła przy tym, że skoro to sam nieuprawniony odbiorca skierował do niej zawiadomienie o zdarzeniu, był on świadomy wagi sprawy i nie powinien wykorzystać przesłanych mu danych w sposób niezgodny z prawem.
Taka reakcja Spółki była – jak można się domyślać – jedną z przesłanek wydania decyzji. Otóż wątkiem, który został poruszony przez Prezesa UODO w decyzji była kwestia zaufania do nieuprawnionego odbiorcy. Status odbiorcy zaufanego posiadają podmioty, które działają w strukturach danej organizacji albo są np. dostawcą, z którego usług administrator stale korzysta. Pomiędzy podmiotami istnieje więź faktyczna, a nierzadko prawna, która pozwala na ocenę stopnia zaufania stron. W przypadku takiego odbiorcy administrator może przyjąć domniemanie, że zna on obowiązujące procedury w zakresie ochrony danych osobowych i że zachowa się w odpowiedni sposób. Od odbiorcy zaufanego administrator może oczekiwać, że nie odczyta on pomyłkowo przesłanych informacji lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania lub usunięcia.
W omawianej sprawie, zdaniem Prezesa UODO, nie występował odbiorca zaufany, wobec czego Spółka powinna była zachować się w sposób bardziej ostrożny dla przypadku ujawnienia danych osobie nieuprawnionej, a więc zgłosić naruszenie ochrony danych osobowych, zakładając, że naruszenie może wywołać szersze skutki.
Niezależnie od tego, że od decyzji przysługują Spółce odpowiednie środki odwoławcze, z których zapewne skorzysta, administratorzy danych osobowych powinni z decyzji już teraz wyciągnąć wnioski, które uwzględniać będą praktykę orzeczniczą organu w podobnych sprawach.
Takim wnioskiem jest z pewnością dbałość o odpowiednie reakcje na naruszenia RODO, co oznacza w praktyce obowiązek zgłaszania każdego przypadku naruszenia ochrony danych osobowych. W przedmiotowej decyzji Prezes UODO powołał się na wytyczne Grupy Roboczej Art. 29, w których stwierdzono, że w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
Ponadto administrator, który dopuszcza możliwość komunikacji poprzez pocztę elektroniczną, powinien posiadać świadomość ryzyk z tym związanych i wprowadzić rozwiązania, które pozwolą na prawidłową weryfikację adresu mailowego. Administrator, który przesyła dokumenty zawierające dany osobowe, powinien również rozważyć ich przesyłanie w zaszyfrowanym załączniku, zwłaszcza gdy dotyczy to danych wrażliwych.
Analiza uzasadnienia decyzji prowadzi także do wniosku, że w przypadku wysyłki maila do niewłaściwego adresata, zwrócenie się do niego z prośbą o trwałe usunięcie otrzymanej wiadomości nie może być bezwzględnie kwalifikowane jako czynność eliminująca wysokie ryzyko naruszenia praw i wolności osób, ponieważ nie sposób wykluczyć ryzyka, że nieuprawniony adresat prośby nie wykona lub pozyskanych danych w inny sposób nie utrwali czy wykorzysta.