Czy naruszeniem ochrony danych osobowych będzie tylko sytuacja, kiedy incydent spowodował negatywne skutki dla zainteresowanej osoby? Czy jednak wystarczy sam fakt, iż wskutek wycieku dostęp do informacji uzyskała osoba nieupoważniona? A czy wyciek numeru PESEL, wraz z imieniem i nazwiskiem, powoduje znaczne ryzyko negatywnych konsekwencji (np. zaciągnięcia kredytu po kradzieży tożsamości)?
nieprawomocny wyrok WSA w Warszawie z 19 kwietnia 2022 r. (II SA/Wa 3024/21)
Dla stwierdzenia naruszenia ochrony danych osobowych nie ma znaczenia, czy nieuprawniony adresat tych danych faktycznie się z nimi zapoznał.
Orzeczenie dotyczyło odpowiedzialności ubezpieczyciela za omyłkowe przesłanie, przez agenta, na adres elektroniczny innej osoby, niezaszyfrowanego pliku z kalkulacją polisy ubezpieczeniowej, zawierającą dane osobowe klienta (m.in. imię, nazwisko, numer PESEL). Przypadkowy adresat oświadczył, iż usunął wiadomość, jednak agent (jako podmiot przetwarzający) poinformował o swym uchybieniu PUODO…
…który stwierdził, że chociaż dane tylko jednej osoby trafiły do tylko jednej osoby, firma ubezpieczeniowa (jako administrator) także powinna była zgłosić wyciek danych osobowych. A ponieważ wśród ujawnionych danych był także numer PESEL, który dość dokładnie identyfikuje konkretną jednostkę i ryzyko konsekwencji jego wycieku jest bardzo poważne (np. kradzież tożsamości może wiązać się zaciągnięciem pożyczki), jego obowiązkiem było także zawiadomić tę osobę.
art. 4 pkt 12 rozporządzenia 679/2016 o ochronie danych osobowych
Na użytek niniejszego rozporządzenia:
12) „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
Naruszenie obowiązków wynikających z RODO skutkowało nałożeniem kary w wysokości 159 tys. zł (decyzja PUODO nr DKN.5131.3.2021 z 21 czerwca 2021 r., dot. Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A.).
W skardze na tę decyzję administrator zwrócił uwagę, że pojęcie naruszenia ochrony danych osobowych nie może być traktowane abstrakcyjne, w oderwaniu od skutku w postaci ujawnienia lub dostępu do danych. Tymczasem adresat wiadomości usunął otrzymane dane, więc należało przyjąć, iż skutek taki nie będzie miał miejsca, jeśli zatem PUODO wątpi w prawdziwość oświadczenia odbiorcy, to należało go przesłuchać. Nawet gdyby jednak przyjąć, iż doszło do naruszenia poufności, to nie ma dowodów, iż samo imię, nazwisko i PESEL wystarczą np. do zaciągnięcia pożyczki na czyjeś dane — a gdyby tak było, to przecież Krajowy Rejestr Sądowy jest pełen takich informacji, zatem jest lepszym źródłem danych osobowych (tudzież kwalifikowane podpisy elektroniczne). Incydent nie prowadził do realnego zagrożenia prywatności, tedy organ nie powinien był nakładać kary, a nawet jeśli, to jej wysokość powinna być adekwatna do naruszenia.
Wojewódzki Sąd Administracyjny nie podzielił wszystkich zarzutów ubezpieczyciela: naruszenie poufności danych polega m.in. na tym, że osoba nieuprawniona uzyskuje dostęp do nieprzeznaczonych dla niej danych osobowych. Uzyskanie dostępu nie wymaga skutku w postaci wykorzystania informacji przez odbiorcę — skoro dane zostały przesłane nie tam, gdzie trzeba, administrator utracił nad nimi kontrolę, toteż powinien zgłosić incydent do PUODO (por. „O wycieku danych osobowych należy zawiadomić PUODO i zainteresowane osoby”).
Odrębną kwestią jest natomiast obowiązek zawiadomienia osoby o naruszeniu: wyciek imienia, nazwiska i numeru PESEL nie powoduje wysokiego ryzyka naruszenia praw i wolności — a jeśli PUODO uważa inaczej, to powinien przekonać, że w oparciu o takie dane możliwe jest zawarcie umowy pożyczki, dostęp do informacji o stanie zdrowia, etc.
Zdaniem WSA w sprawie zabrakło rozsądnej analizy tych argumentów, zatem w wydanym wyroku zdecydował o uchyleniu decyzji o nałożeniu kary.
Zamiast komentarza: nie od dziś naśmiewam się z tego całego „olaboga, zajumali mi PESELa!”, gorączkowego sprawdzania w BIK, etc. — bo gdyby to było prawdą, to przecież dane osobowe zawarte w KRS byłyby po stokroć lepszym źródłem wiedzy dla łobuzów i oszustów.