Wysoka kara pieniężna dla znanej spółki ubezpieczeniowej

Konsekwencją błędu popełnionego przez pracownika Towarzystwa Ubezpieczeń i Reasekuracji Warta S.A. była kara wysokości 85 588 zł, nałożona przez Organ Nadzorczy Urzędu Ochrony Danych Osobowych.

Co się stało?

W maju 2020 roku Urząd Ochrony Danych Osobowych otrzymał zgłoszenie o naruszeniu poufności danych osobowych. Zgłoszenia dokonała osoba postronna, która ujawniła, że naruszenie polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, polisy ubezpieczeniowej do nieuprawnionego adresata.

Co było przedmiotem zgłoszenia?

Dokument wysłany przez agenta ubezpieczeniowego zawierał takie dane jak: imiona, nazwiska, adresy zamieszkania, numery PESEL oraz dane dotyczące ubezpieczanego samochodu. Informacje przekazane przez nieuprawnionego adresata spowodowały, że organ nadzorczy UODO zwrócił się do Spółki z prośbą o wyjaśnienie, czy w związku z wysyłką polisy do podmiotu nieuprawnionego została dokonana analiza pod kątem ryzyka naruszenia RODO i czy powstała konieczność zawiadomienia UODO oraz osób, których owo naruszenie dotyczy. W przesłanym do Spółki piśmie, organ nadzorczy wskazał również sposób w jaki jej władze mogą zgłosić fakt naruszenia poufności danych osobowych, jak również wezwał jej władze do złożenia wyjaśnień.

Stanowisko spółki

Władze Spółki nie ukrywały, że doszło do naruszenia prywatności danych osobowych, oraz przeprowadziła analizę pod kątem poprawnego wdrożenia procedur RODO. W wyniku tej oceny Spółka uznała, że naruszenie nie wymaga zawiadomienia UODO. Według Towarzystwa Ubezpieczeniowego, naruszenie powstało na skutek wysłania polisy na błędny adres, który został podany przez samego klienta. Wobec tego Spółka poprosiła nieuprawnionego odbiorcę o trwałe usunięcie wiadomości oraz o informację zwrotną potwierdzającą jej usunięcie. Mimo upomnienia UODO, spółka nadal unikała zgłoszenia naruszenia poufności danych. Nie powiadomiła o tym również osób, których owo naruszenie dotyczyło. Nie widząc poprawy, organ nadzorczy rozpoczął postępowanie administracyjne. Dopiero wtedy Spółka zgłosiła naruszenie przepisów oraz zawiadomiła dwie osoby, których dotyczyła sprawa. Cała sprawa trwała długie pięć miesięcy, co było powodem dodatkowego obciążenia spółki.

Po której stronie leży wina?

Faktycznie, podczas postępowania UODO uznał, że do naruszenia doszło w wyniku pomyłki klienta, który wskazał błędny adres poczty elektronicznej. Niemniej, administrator dopuszczając możliwość wykorzystania narzędzi elektronicznych w komunikacji z klientem, powinien lepiej zabezpieczać przesyłanie pliki np. przez szyfrowanie dokumentów. Prezes UODO nakładając karę administracyjną, wziął pod uwagę okoliczności łagodzące takie jak fakt, że naruszenie dotyczyło dwóch osób czy prośbę Spółki o trwałe usunięcie korespondencji przez podmiot nieuprawniony. Dlatego zawsze warto wdrożyć RODO zanim urząd przystąpi do kontroli.

Jeżeli juz odwiedziłeś naszą stronę - zapraszamy do przejrzenia cennika usług!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Wypełnij to pole
Wypełnij to pole
Proszę wprowadzić prawidłowy adres e-mail.
You need to agree with the terms to proceed

Menu