Prezes Urzędu Ochrony Danych Osobowych nałożył na Link4 Towarzystwo Ubezpieczeń S.A. z siedzibą w Warszawie, administracyjną karę pieniężną w wysokości 103 752 zł. Powodem nałożenia kary jest niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Do Urzędu Ochrony Danych Osobowych wpłynęła informacja, że osoba trzecia, jako nieuprawniony odbiorca, otrzymała w formie załącznika do wiadomości e-mail dokument potwierdzający przyznanie odszkodowania. W nadanej przez Link4 Towarzystwo Ubezpieczeń S.A. wiadomości znalazły się takie dane jak imię, nazwisko, adres do korespondencji, dane wskazujące markę, model, numer rejestracyjny samochodu, a także numer polisy, numer szkody, jej wartość oraz kwota uznanego roszczenia. O otrzymaniu wiadomości z cudzymi danymi osoba trzecia poinformowała firmę ubezpieczeniową, jednak nie otrzymała żadnej odpowiedzi.
Administrator, w odpowiedzi na pytanie UODO, wskazał, że wiedział o zdarzeniu i wyjaśnił, że wiadomość została wysłana do nieuprawnionego adresata oraz likwidatora szkody „w wyniku błędu ludzkiego”. Ubezpieczyciel poinformował również, że dokonał analizy ryzyka w oparciu o „rekomendowaną na stronie UODO metodologię ENISA” oraz, dostępny w Internecie, darmowy kalkulator do oceny wagi naruszenia. Analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą i na tej podstawie firma odnotowała incydent w wewnętrznym rejestrze administratora, nie informując jednak o zdarzeniu organu nadzorczego. Ze względu na brak takiego zgłoszenia, organ nadzorczy wszczął z urzędu postępowanie administracyjne wobec spółki.
Decydując się na zastosowanie środka w postaci administracyjnej kary pieniężnej, organ nadzorczy na podstawie art. 83 ust. 2 lit.a RODO wziął pod uwagę m.in. następujące okoliczności obciążające: długi czas trwania naruszenia; umyślność naruszenia, ; stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu toczącym się wobec spółki; niezadowalający poziom współpracy z organem nadzorczym. Organ zwrócił również uwagę, że spółka jest podmiotem, na którym ciążą szczególne obowiązki nałożone na mocy art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia.
UODO podkreślił, że przy dokonywaniu oceny pod kątem ryzyka naruszenia praw lub wolności osób fizycznych, od której uzależnione jest zgłoszenie naruszenia, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Organ przypomniał również, że zgłoszenie przez administratora naruszenia ochrony danych osobowych, nie może być uzależnione od zaistnienia naruszenia praw lub wolności osób fizycznych. Samo bowiem ryzyko zmaterializowania się takiego naruszenia uzasadnia zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu.
Badając sprawę, organ kilkukrotnie podkreślał, że ocena ryzyka naruszenia praw lub wolności osoby fizycznej powinna być dokonywana przez pryzmat osoby, której dane dotyczą, a nie interesów administratora. Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje. Zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia.
Źródło: https://uodo.gov.pl/pl/138/2916