Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanej dalej „Kpa”, w związku z art. 58 ust. 2 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwanego dalej „ogólnym rozporządzeniem o ochronie danych” lub „RODO”, po przeprowadzeniu postępowania administracyjnego w sprawie niezawiadomienia przez Y. S.A., osoby, której dotyczy naruszenie ochrony danych osobowych, niezgodnie z  art. 34 ust. 2 RODO, Prezes Urzędu Ochrony Danych Osobowych.

nakazuje ponowne zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej wszystkich informacji wymaganych zgodnie  z art. 34 ust. 2 RODO, tj.:

1. opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
2. opisu środków proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,

w terminie 3 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.

Uzasadnienie

W dniu […] lipca 2018 r. pełnomocnik Y. S.A., zwane dalej również „T.” lub „Y. S.A.”, złożył do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych (data stwierdzenia: […] lipca 2018 r. godz. […]). Naruszenie polegało na przesłaniu wiadomości e-mail dotyczącej jednego z klientów Y. S.A. na niewłaściwy adres poczty elektronicznej, w wyniku czego dane osobowe klienta zostały udostępnione osobie nieuprawnionej. W zgłoszeniu administrator podał, że naruszenie dotyczyło takich danych jak: imię, nazwisko, adres zameldowania tożsamy z adresem korespondencyjnym, numer PESEL, numer telefonu, dane pojazdu (w tym numer VIN, numer rejestracyjny oraz marka pojazdu), numer propozycji/polisy, data urodzenia, status ubezpieczonego. Administrator ocenił ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jako średnie i zrezygnował z zawiadomienia tej osoby o zdarzeniu, wskazując, że po naruszeniu administrator zastosował środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 lit. b RODO, tj. skierował do osoby, która otrzymała dane jej niedotyczące, informację o konieczności usunięcia wiadomości elektronicznej oraz o poufności danych zawartych w tej wiadomości i zakazie ich wykorzystywania.

W dniu […] sierpnia 2018 r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z dnia 2018.05.24 z późn. zm.), zwanej dalej „ustawą o ochronie danych osobowych”, oraz art. 34 ust. 4 RODO, skierował do Y. S.A. wystąpienie, w którym wezwał do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz przekazania tej osobie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. W wystąpieniu Prezes UODO wskazał, że naruszenie poufności takich danych osobowych jak: numer PESEL wraz z imieniem  i nazwiskiem, adresem zamieszkania, danymi lokalizacyjnymi, a także dokumentacją dotyczącą ubezpieczanego pojazdu powoduje wysokie ryzyko dla praw i wolności osoby  w związku z następującymi przykładowymi zagrożeniami:

• uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych;
• uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono;
• korzystanie z praw obywatelskich osoby, której dane naruszono, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
• wyłudzenie ubezpieczenia.

Prezes UODO wskazał również, że osobie, której dane dotyczą powinny być udzielone zalecenia co do środków, jakie może ona podjąć w celu zabezpieczenia się przed negatywnymi skutkami naruszenia i wskazał następujące przykłady:

• możliwość założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej;
• zasugerowanie osobie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

Jednocześnie Prezes UODO wezwał do powiadomienia go w terminie 30 dni od dnia otrzymania wystąpienia o działaniach podjętych w związku z niniejszym wystąpieniem, tj.: zawiadomieniu osoby o zaistniałym naruszeniu zgodnie z art. 34 ust. 1 RODO i przekazaniu jej stosownych zaleceń, a także o działaniach podjętych w celu wyeliminowania podobnych nieprawidłowości w przyszłości.

W odpowiedzi na powyższe, Y. S.A. pismem z dnia […] września 2018 r. wskazała, że osoba, której dane dotyczą ma wiedzę na temat zaistniałego zdarzenia, wobec powyższego dodatkowe zawiadomienie o naruszeniu jest zdaniem Y. S.A. bezprzedmiotowe. Jak podaje T. osoba, której dane dotyczą wielokrotnie rozmawiała na temat naruszenia z pracownikami Y. S.A., została przeproszona za zdarzenie oraz szczegółowo poinformowana o jego przebiegu i przyczynie. Ponadto osobie, której dane dotyczą została przekazana informacja o środkach zastosowanych w celu zminimalizowania negatywnych skutków naruszenia, tj.:

1. skierowaniu do adresata błędnego adresu prośby o trwałe usunięcie wiadomości oraz o poinformowaniu osoby, że wiadomość zawierała dane poufne i o zakazie ich wykorzystywania.
2. Pouczeniu pracownika wprowadzającego dane osobowe przekazywane przez klientów lub potencjalnych klientów o konieczności uważnego zapisywania danych odbiorcy wiadomości elektronicznej, a w razie wątpliwości co do treści tych danych – o wyjaśnienie tych wątpliwości z właściwymi osobami, w tym z klientem lub potencjalnym klientem – rozmówcą, przed wysłaniem wiadomości zawierającej dane osobowe.
3. Sprostowaniu w systemie danych osobowych.

T. wskazało również podjęte działania zmierzające do wyeliminowania potencjalnych podobnych zdarzeń w przyszłości:

1. prowadzenie monitoringu sytuacji związanej z funkcjonowaniem nowych procesów uruchomionych pod RODO, w tym procesu obsługi incydentów naruszenia danych osobowych;
2. zorganizowanie warsztatów służących wymianie doświadczeń oraz implementacji doraźnych rozwiązań redukujących ryzyko wycieków (np. weryfikacja adresu e-mail z klientem przy okazji kontaktu, obowiązkowe literowanie adresów e-mail przez pracowników Y. S.A., aby klient mógł potwierdzić jego poprawność czy poinstruowanie pracowników, aby adresy e-mail były wypełniane w sposób czytelny, drukowanymi literami);
3. uruchomienie projektu, którego celem jest wprowadzenie systemowych rozwiązań eliminujących występowanie incydentów naruszenia, z uwzględnieniem edukacji pracowników i mitygacji problemu.;
4. podjęto kroki dotyczące współpracy z procesorem generującym w znacznym stopniu naruszenia ochrony danych osobowych Y. S.A.

Na zakończenie T. zapewniło, że dokłada wszelkich starań, aby zachować poufność danych uzyskanych w ramach prowadzonej przez siebie działalności.

[…] października 2018 r. na podstawie art. 61 § 1 i 4 Kpa w związku z art. 58 ust. 2 lit. e) RODO wszczęte zostało postępowanie administracyjne w sprawie niezawiadomienia przez Y. S.A. osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO.

Pismem z dnia […] października 2018 r. (sygn. […]) T. poinformowało, że osoba, której dane dotyczą, została zawiadomiona o naruszeniu telefonicznie […] lipca 2018 r. Jednocześnie T. w uzupełnieniu z dnia […] października 2018 r. (sygn. […]) przekazało zanonimizowaną treść zawiadomienia, w którym wskazało osobie, na czym polegało naruszenie ochrony danych osobowych oraz podało adres mailowy do inspektora ochrony danych osobowych. Poinformowało również, że w celu zminimalizowania negatywnych skutków naruszenia ochrony danych osobowych skierowało do odbiorcy błędnego adresu prośbę o trwałe usunięcie wiadomości oraz sprostowało błędny dane osobowe w systemie Y. S.A. Pouczyło również pracowników wprowadzających dane osobowe klientów lub potencjalnych klientów, o konieczności uważnego zapisywania danych odbiorcy wiadomości elektronicznej, a w razie wątpliwości co do treści tych danych – o wyjaśnienie tych wątpliwości z właściwymi osobami przed wysyłaniem wiadomości zawierającej dane osobowe oraz prowadzi szkolenia pracowników w zakresie przestrzegania zasad ochrony danych osobowych. W zakresie opisu możliwych konsekwencji naruszenia T. wskazało, że „osoba trzecia może posłużyć się Pani danymi”.

W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Art. 34 ust. 1 ogólnego rozporządzenia ochrony danych osobowych wskazuje, że  w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 RODO prawidłowe zawiadomienie powinno:

1. jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2. zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO, czyli:
1. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
2. opis możliwych konsekwencji naruszenia ochrony danych osobowych;
3. opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Zawiadomienie przesłane […] października 2018 r. przez Y. S.A. do osoby, której dane dotyczą, nie było prawidłowe, ponieważ nie zawierało dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie może być narażona osoba, której dane dotyczą, oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia. Tym samym nie spełniało ono warunków określonych w art. 34 ust. 2 w związku z art. 33 lit. c i d RODO.

Prezes UODO korzystając ze swoich uprawnień, jakie przysługują mu na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych, skierował do Y. S.A. wystąpienie zmierzające do zapewnienia skutecznej ochrony danych osobowych. Wskazał w nim, że naruszenie poufności danych takich jak numer PESEL wraz z imieniem  i nazwiskiem, adresem zamieszkania, danymi lokalizacyjnymi, a także dokumentacją dotyczącą ubezpieczanego pojazdu powoduje wysokie ryzyko dla praw i wolności osoby, wymaga zawiadomienia osoby o naruszeniu celem poinformowania jej m.in. o możliwych negatywnych skutkach naruszenia oraz działaniach (środkach), jakie może ona podjąć w celu zabezpieczenia przed negatywnymi skutkami naruszenia. W swoim wystąpieniu Prezes UODO podpowiedział administratorowi, w jakich możliwych nieuprawnionych celach dane osoby mogą być wykorzystane oraz o jakich przykładowych środkach zabezpieczających powinna być ona powiadomiona w celu zabezpieczenia się przed negatywnymi skutkami naruszenia.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest  na podstawie art. 34 ust. RODO bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą  o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw i wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 preambuły RODO wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe,  w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.

Y. S.A. wielokrotnie informowało osobę, której dane dotyczą (telefonicznie oraz listownie) o okolicznościach zaistniałego naruszenia. Jednakże w zawiadomieniu, które skierowała do osoby, której dane dotyczą w dniu […] października 2018 r. nie wskazała osobie możliwych sposobów nieuprawnionego wykorzystania danych ograniczając się jedynie do stwierdzenia „W konsekwencji powyższego osoba trzecia może posłużyć się Pani danymi”. Zawiadomienie osoby, nie obejmowało również wskazania środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Prezes UODO w swoim wystąpieniu z dnia […] sierpnia 2018 r. wskazał możliwe konsekwencje naruszenia ochrony danych osobowych, jakie mogłyby być przekazane osobie, której dane dotyczą. Mimo wynikającego z art. 34 ust. 3 w związku z art. 33 ust 3 lit. c RODO obowiązku przekazywania osobie, której dane dotyczą, opisu możliwych konsekwencji naruszenia, T. nie przekazało tej osobie ani opisu konsekwencji zasugerowanych przez organ nadzorczy, ani opisu jakichkolwiek innych konsekwencji naruszenia ochrony danych osobowych.

Oprócz obowiązku wskazania osobie, której dane dotyczą, opisu możliwych konsekwencji naruszenia, T. zobowiązane było również na podstawie z art. 34 ust. 3 w związku z art. 33 ust 3 lit. d RODO do przekazania osobie, której dane dotyczą, opisu środków proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych, w tym środków, które osoba może podjąć w celu zminimalizowania ewentualnych negatywnych skutków naruszenia. T. nie wywiązało się z tego obowiązku i nie przekazało osobie żadnych zaleceń w tym zakresie.

Art. 34 ust. 1 i 2 RODO ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw i wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z przepisu art. 5 ust. 1 lit. a RODO. (por.Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa,  D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w tym przepisie ma zapewnić osobie, której dane dotyczą - szybko i w sposób przejrzysty - informację o naruszeniu ochrony jej danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może ona podjąć  w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępujące zgodnie  z prawem i wykazujące dbałość zarówno o bezpieczeństwo produktów ubezpieczeniowych, jak i o interesy osoby, której dane dotyczą, T. powinno było zatem bez zbędnej zwłoki zapewnić, osobie, której dane dotyczą, możliwość jak najlepszej ochrony jej praw i wolności wystawionych na ryzyko wynikające z naruszenia ochrony danych osobowych. Dla osiągnięcia tego celu konieczne jest przynajmniej wskazanie m.in. tych informacji, które wymienione są w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c i d RODO, z którego to obowiązku T. się nie wywiązało.

Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak  w sentencji.  

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.