WARTA S.A. ukarana za naruszenie przepisów o ochronie danych

29 grudnia 2020, 13:09
1600px-Biurowiec_warty_w_szczerym_polu
Fot. Panek/Wikimedia Commons/CC 4.0

Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. naruszyło przepisy ogólnego rozporządzenia o ochronie danych, gdyż nie zgłosiło Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych - wskazuje UODO, równocześnie informując o ukaraniu firmy grzywną w wysokości 85 588 zł w związku z nieprzestrzeganiem obowiązującego prawa. 

Jak podkreślono w oficjalnym komunikacie, do Urzędu Ochrony Danych Osobowych (UODO) w maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata.

Załączony dokument zawierał  dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy) - wskazuje UODO. jak tłumaczy Urząd, istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.

Dlatego też, organ nadzorczy zwrócił się do Spółki o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia UODO oraz osób, których dotyczy naruszenie. W piśmie organ nadzorczy wskazał spółce, w jaki sposób może dokonać zgłoszenia naruszenia oraz wezwał do złożenia wyjaśnień - stwierdzono w komunikacie do sprawy.

Jak wskazuje UODO, spółka potwierdziła, że doszło do incydentu związanego z naruszeniem ochrony danych osobowych oraz, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. To właśnie na jej podstawie ukarana spółka uznała, iż zaistniałe naruszenie nie wymaga zawiadomienia UODO. WARTA S.A. uznała, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazał sam klient. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.

Pomimo pisma UODO z prośbą o wyjaśnienia, spółka nadal nie zgłosiła naruszenia ochrony danych osobowych oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzoru wszczął więc postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania spółka zgłosiła naruszenie ochrony danych osobowych oraz zawiadomiła dwie osoby, których dotyczy naruszenie - czytamy w komunikacie.

Jak wyjaśnia UODO, takie działanie spółki spowodowało, że czas trwania naruszenia był długi, co należy uznać za okoliczność obciążającą. Tym bardziej, że od powzięcia informacji o naruszeniu ochrony danych osobowych do powiadomienia o nim organ nadzorczy upłynęło pięć miesięcy.

W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na  niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzić odpowiednie środki organizacyjne  i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów - podkreślono w komunikacie.

Również fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji nie może stanowić o tym, ze ryzyko dla praw i wolności osób, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił.

Prezes UODO nakładając administracyjną karę pieniężną wziął pod uwagę również okoliczności łagodzące jak fakt, że naruszenie dotyczyło danych osobowych dwóch osób oraz, że spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Jednak warto nadmienić, że prośba o usunięcie danych nie jest równoznaczna z gwarancją faktycznego ich usunięcia przez osobę nieuprawnioną i nie wyklucza ewentualnych negatywnych konsekwencji ich wykorzystania - czytamy w komunikacie UODO.

Informacja prasowa UODO

image
Z oferty Sklepu Defence24 - zapraszamy!
CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 1
https://www.polisarium.pl
wtorek, 29 grudnia 2020, 20:42

w Warta TU S.A. to raczej bardzo dobry wybór, dziwi mnie, że doszło do takiej sytuacji.

Tweets CyberDefence24