Prezes Urzędu Ochrony Danych Osobowych nałożył na firmę ubezpieczeniową Link4 sankcję finansową w wysokości 103 752 złotych. Decyzję tę podjęto w związku z nierealizacją obowiązku zgłoszenia naruszenia ochrony danych osobowych w ustalonym terminie, tj. nie później niż w ciągu 72 godzin od stwierdzenia incydentu.
POLECAMY: Sprzedaż długu a RODO
Według informacji dostarczonych do Urzędu Ochrony Danych Osobowych, nieuprawniona osoba otrzymała e-mail zawierający załącznik potwierdzający przyznanie odszkodowania. W treści przesłanej przez Link4 Towarzystwo Ubezpieczeń S.A. wiadomości znalazły się poufne informacje, takie jak imię, nazwisko, adres do korespondencji, dane dotyczące pojazdu (marka, model, numer rejestracyjny), a także numer polisy, numer szkody, wartość szkody oraz kwota przyznanego odszkodowania. Odbiorca zgłosił fakt otrzymania takiej wiadomości Link4, lecz nie otrzymał od firmy żadnej reakcji.
W odpowiedzi na pytanie Urzędu Ochrony Danych Osobowych, ubezpieczyciel przyznał, że był świadomy zaistniałego incydentu. Twierdził, że wiadomość została wysłana do nieuprawnionego adresata oraz likwidatora szkody z powodu „błędu ludzkiego”. Link4 poinformował również, że przeprowadził analizę ryzyka zgodnie z „rekomendowaną metodologią ENISA” i skorzystał z dostępnego publicznie kalkulatora do oceny wagi naruszenia. Mimo że analiza wykazała niskie ryzyko dla praw i wolności osoby, której dane dotyczą, firma jedynie odnotowała incydent w wewnętrznym rejestrze administratora, nie informując jednak o tym organu nadzorczego, czyli Urzędu Ochrony Danych Osobowych.
W związku z brakiem takiego zgłoszenia, Prezes UODO podjął decyzję o wszczęciu postępowania administracyjnego przeciwko firmie ubezpieczeniowej. W trakcie tego postępowania nałożono na Link4 karę pieniężną, a decyzję tę uzasadniono, biorąc pod uwagę długi czas trwania naruszenia, umyślność incydentu, wcześniejsze stwierdzenie naruszenia przepisów o ochronie danych osobowych w innym postępowaniu dotyczącym spółki, oraz niezadowalający poziom współpracy z organem nadzorczym.
– Link4 Towarzystwo Ubezpieczeń S.A. jest podmiotem, na którym ciążą szczególne obowiązki nałożone na mocy art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej, zgodnie z którym zakład ubezpieczeń i osoby w nim zatrudnione, a także osoby i podmioty, za pomocą których zakład ubezpieczeń wykonuje czynności ubezpieczeniowe, są obowiązane do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia – wskazał PUODO.
Jak oceniać ryzyko dla praw i wolności
Podkreślono, że przy ocenie ryzyka naruszenia praw lub wolności jednostek, od której zależy zgłoszenie incydentu, administrator danych musi uwzględniać zarówno prawdopodobieństwo wystąpienia naruszenia, jak i potencjalne negatywne skutki. Organ nadzoru dodatkowo przypomniał, że zgłoszenie naruszenia ochrony danych osobowych przez administratora nie powinno być warunkowane faktem zaistnienia konkretnego naruszenia praw lub wolności osób fizycznych. Same ryzyko wystąpienia takiego naruszenia stanowi wystarczający powód do zgłoszenia incydentu organowi nadzorczemu.
W kontekście sprawy Link4, Prezes Urzędu Ochrony Danych Osobowych wielokrotnie podkreślał, że ocena ryzyka naruszenia praw lub wolności jednostki powinna być dokonywana z perspektywy osoby, której dane są dotknięte, a nie z punktu widzenia interesów administratora danych.
– Gruntownie przeprowadzona analiza zdarzenia, w tym uwzględnienie prawdopodobieństwa wystąpienia negatywnych skutków oraz ich doniosłości ma służyć przede wszystkim ochronie praw osób fizycznych, których dotknęło naruszenie i które ostatecznie będą zmuszone ponieść jego, niekiedy bardzo poważne, konsekwencje. Zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia – wskazuje organ nadzorczy w komunikacie.