RODO: ERGO Hestia rozpoczęła lipiec surową karą

 - UODO o zaistniałej sytuacji poinformowała firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych — przekazuje Urząd Ochrony Danych Osobowych.

Mail skierowany do niewłaściwego adresata

Naruszenie polegało na tym, że pracownik pośrednictwa finansami wysłał pocztą elektroniczną do niewłaściwego odbiorcy analizę potrzeb ubezpieczeniowych oraz ofertę ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia.

- Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej — informuje urząd.

Jak prezes UODO nakłada administracyjne kary pieniężne?Alicja Skibińska

Błędnie wysłana korespondencja zawierała dane osobowe umieszczone w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. A ponieważ podmiot, który naruszył ochronę danych osobowych, występował jednocześnie w roli podmiotu przetwarzającego dane towarzystw ubezpieczeniowych, zawiadomił je o naruszeniu. Okazało się, że kilka towarzystw ubezpieczeniowych jako administratorzy danych zgłosiło naruszenie, ale nie zgłosiło go samo Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A..

- UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie - wyjaśnia UODO.

Analiza ryzyka wykonana nieprawidłowo

Jednak przeprowadzona przez spółkę analiza ryzyka budziła wątpliwości organu nadzorczego — nie została dokonana w sposób prawidłowy. — Błędy, jak również nieprawidłowości w przeprowadzonej ocenie polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom — zaznacza urząd.

Jak wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych?Rafał Stępniewski

Ponadto spółka oświadczyła, że nieuprawniony odbiorca wiadomości usunął ją i nie zapoznawał się z jej treścią. Oświadczenie takie nie wyklucza jednak, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości. Zdaniem UODO, nieuprawnionego odbiorcy nie można uznać za "odbiorcę zaufanego", a zakres przesłanych mu danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Według urzędu, kara pieniężna w wysokości 160 tys. zł będzie skuteczna i spełni swoją funkcję.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.