Czy administrator danych osobowych może być ukarany za brak zgłoszenia naruszenia ochrony danych osobowych i nieprzesłanie osobie zainteresowanej zawiadomienia o wycieku jej danych? Czy jako naruszenie danych osobowych należy traktować także sytuację, w której do błędu doszło przypadkowo — wskutek błędu osoby, której dane wyciekły? (decyzja PUODO nr DKN.5131.5.2020 z 9 grudnia 2020 r.).
Sprawa dotyczyła odpowiedzialności TUiR WARTA S.A. za niedopełnienie obowiązku zgłoszenia Prezesowi Urzędu Ochrony Danych Osobowych przypadkowego ujawnienia danych osobowych postronnemu odbiorcy — co zostało potraktowane jako naruszenie ochrony danych osobowych.
art. 4 pkt 12 RODO
Na użytek niniejszego rozporządzenia:
„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych
Zaczęło się od tego, że podpisujący umowę klient podał agentowi ubezpieczyciela błędny — bo należący do całkowicie innej osoby — adres listelowy, na który przesłano m.in. imię, nazwisko, adres, numer PESEL, numer telefonu oraz informacje o ubezpieczonym aucie. Przypadkowy odbiorca wiadomości poinformował o tym PUODO, który zwrócił się do Warty z pytaniem czy dokonano analizy pod kątem naruszenia praw i wolności osoby — i rozważono zawiadomienie organu oraz zainteresowanej osoby.
art. 33 ust. 1 RODO
W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki — w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia — zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.
W odpowiedzi ubezpieczyciel stwierdził, że przeanalizował sprawę i wyszło mu, że zawiadamiać nikogo nie musi, ponieważ nieszczęsny klient sam podał błędny adres, zaś odbiorca poinformował o błędnej wysyłce także spółkę, co oznacza, że jest świadom kwestii związanych z danymi osobowymi — a w dodatku poproszono go o usunięcie korespondencji.
PUODO nieustępliwie drążył temat i w kolejnym piśmie wyjaśnił spółce, że naruszenie ochrony danych osobowych nie wymaga świadomego działania (może do niego dojść także nieświadomie czy przez błąd klienta), zatem jeśli nawet doszło do przypadkowego ujawnienia danych osobowych (naruszenia poufności danych obejmujących m.in. numer PESEL oraz imię i nazwisko), to warto przyjąć, iż istnieje wysokie ryzyko w rozumieniu RODO.
Ale Warta odpisała, że okoliczności sprawy — fakt, że przypadkowy odbiorca okazał się poważnym człowiekiem — wykluczają przyjęcie takiego ryzyka (na dowód przedstawiono korespondencję, w której „skierowano do niego prośbę o trwałe usunięcie wiadomości”).
art. 34 ust. 1 RODO
Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Wobec braku przesłania zgłoszenia organ wszczął postępowanie — więc Warta dokonała zgłoszenia naruszenia i poinformowała zainteresowanych o naruszeniu — ale mimo to PUODO stwierdził naruszenie obowiązków i nałożył na administratora karę w wysokości 85,5 tys. złotych.
W uzasadnieniu decyzji PUODO podkreślił, iż:
- administrator danych osobowych powinien zgłaszać PUODO każdy przypadek naruszenia ochrony danych osobowych, którego skutkiem jest ryzyko naruszenia praw lub wolności osób fizycznych, a także zawiadamiać o naruszeniu osobę zainteresowaną;
- przesłanie polisy ubezpieczeniowej zawierającej dość szczegółowe dane osobowe klienta może skutkować powstaniem szkody niemajątkowej lub majątkowej („dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”), przeto oznacza wysokie ryzyko naruszenia praw lub wolności osób fizycznych — doszło także do naruszenia tajemnicy ubezpieczeniowej;
- nie ma znaczenia, że do przesłania danych doszło przypadkowo (wskutek błędu samej zainteresowanej osoby) — firma, która komunikuje się przy pomocy listeli powinna mieć świadomość tego rodzaju ryzyka i je minimalizować (np. poprzez weryfikację adresu lub szyfrowanie danych);
- z tych obowiązków nie zwalnia także przesłana do odbiorcy wiadomości prośby o usunięcie danych — bo nie ma pewności, że „osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się” — nie można zaufać oświadczeniu, że dane zostały usunięte;
- zaufać można odbiorcy, z którym pozostaje się w stałych stosunkach, przez co zna jego procedurę i historię — ale przypadkowa osoba nie może być traktowana jako „zaufany odbiorca” takich danych (a w razie wątpliwości należy zgłosić naruszenie);
- przesłanie zgłoszenia i zawiadomienia po 5 miesiącach od naruszenia (maj-październik 2020 r.) oznacza, że Warta nie dopełniła swych obowiązków „bez zbędnej zwłoki”, a więc pozbawiła zainteresowaną osobę możliwości uzyskania rzetelnej wiedzy o naruszeniu oraz możliwości przeciwdziałania jego skutkom;
- co uzasadnia nałożenie kary pieniężnej, której wysokość powinna uwzględniać poważną charakter i wagę naruszenia (istnieje ryzyko szkód majątkowych i niemajątkowych); czas trwania naruszenia (5 miesięcy); umyślny charakter naruszenia (spółka nie wykonała swych obowiązków świadomie — mimo prowadzonej z PUODO korespondencji, a także mimo tego, iż wcześniej w podobnych sprawach Warta zgłaszała naruszenia); brak wdrożenia środków zapewniających bezpieczeństwo danych (weryfikacja adresów poczty elektronicznej lub szyfrowanie danych); niezadowalający stopień współpracy administratora z organem; okoliczność, że PUODO dowiedział się o naruszeniu od osoby trzeciej (osoby, która dostała feralną przesyłkę) — i tu zdaniem PUODO właśnie kwota 85,5 tys. złotych jest adekwatna do wszystkich okoliczności.
Zamiast komentarza: osobiście, w swej intelektualnej niezależności — i coraz większym sceptycyzmie wobec tego czym staje się RODO (nie mówię nawet o niechlubnym upolitycznieniu PUODO) — uważam decyzję za formalnie prawidłową, co nie zmienia faktu, że w normalnym świecie byłaby kolejnym gwoździem do trumny rozporządzenia.
Zacznijmy od suflowanych przez PUODO podpowiedzi: weryfikacja adresów przed przesłaniem polisy? szyfrowanie danych? przecież klient chce (bo musi) ubezpieczyć samochód, więc zmuszanie go (zwłaszcza w scenariuszu „pan tu siedzi przede mną, ja z panem rozmawiam, a teraz panu coś wyślę na mejlika i pan mi potwierdzi”) do klikania czegoś (a jeśli nie ma na czym kliknąć?)… człowiek chce mieć pewność, że ma tę polisę i nie dostanie kary za brak obowiązkowego OC, a nie potwierdzać („mój adres to wiesiek31415@”). Z szyfrowaniem niby trochę lepiej… ale strzelam, że dla połowy ludzi, których poniekąd zmusza się do korzystania z usług via internet szyfrowane załączniki są kolejną upierdliwością (nie zrozumie tego ten, kto jest zdania, że bezpieczeństwo systemów zależy od wymuszenia częstej zmiany haseł — tak nie jest, bo w końcu ludzie zaczynają sobie te hasła zapisywać gdzie popadnie).
Na to nakłada się właśnie myślenie (anty)biznesowe — wypośrodkowanie bezpieczeństwa z wygodą i poczuciem klienta, że nikt nie robi go w balona. Organ kontrolny z definicji nie ma tego problemu (biznes mu nie w głowie), więc łatwo jest napisać w decyzji, że trzeba było weryfikować lub szyfrować — a ja stawiam kasztany przeciwko orzechom, że WSA powie, że wystarczy się upewnić (ale jak?) — podobnie jak nie ma problemu z tym, że przy pewnym zapale scenariusz taki pozwala na swoiste zddosowanie konkurencji (podpowiem: siada nas dwunastu, wypełniamy jakieś formularze, podajemy nawzajem swoje dane, dla ulepszenia zabawy robimy to niejednocześnie — i czekamy, bo albo odbiorca poświęci czas na robotę głupiego (zgłoszenie, zawiadomienie), albo ryzykuje sankcją.
Podsumowując: czasem nie wystarczy mieć racji, ponieważ przydałoby się jeszcze mieć wyobraźnię do czego te racje prowadzą.