Affe Company Logo

Wysłanie maila na błędny adres może Cię słono kosztować

Prezes Urzędu Ochrony Danych Osobowych (PUODO) na początku grudnia 2020 r. nałożył na Towarzystwo Ubezpieczeń i Reasekuracji Warta S.A. karę w wysokości 85 588 zł.

Kara nie została nałożona bezpośrednio na Wartę, ale na jej agenta (tzw. podmiot przetwarzający), który na zlecenie Warty wykonywał dla niej usługi. Zgodnie z RODO Administrator (tutaj: Warta) odpowiada za postępowanie swoich procesorów, dlatego to Warta musi zapłacić karę.

Jak to się stało?

Agent wysłał maila z polisą ubezpieczeniową na samochód zamiast do Pana X – do Pana Y. Co ciekawe to Pan X podając agentowi swojego maila – pomylił się w adresie! Pan Y, który otrzymał błędnego maila z polisą, poinformował o tym fakcie PUODO. W mailu zawarte były takie dane jak: imię i nazwisko, adres zamieszkania numer PESEL oraz informacje co do ubezpieczanego pojazdu.

PUODO zwrócił się do Warty o wyjaśnienia. Zapytał, czy w związku z błędnie wysłanym mailem Warta przeprowadziła analizę pod kątem ryzyka naruszenia praw i wolności osób fizycznych, a jeżeli TAK – to co wyszło jej z tej analizy. Spółka potwierdziła, że taka sytuacja miała miejsce. Wskazała, że przeprowadziła analizę, ale z analizy wyszło jej, że nie trzeba zawiadamiać o tym naruszeniu PUODO, ani Pana X. WARTA wskazała, że Pan Y sam do niej napisał z informacją, że ktoś pomylił się wysyłając maila. Wtedy WARTA poprosiła Pana Y, aby usunął maila z błędnie przesłaną polisą i potwierdził fakt usunięcia mailowo.

A jednak postępowanie…

W treści korespondencji jaką wymienił PUODO z Wartą, PUODO wskazał w jaki sposób Warta możne zgłosić naruszenie. Mimo wskazówek, Warta nie zgłosiła naruszenia PUODO i nie poinformowała Pana X o „wycieku” jego danych. Organ nadzoru wszczął więc postępowanie wyjaśniające, które zmobilizowało Spółkę do podjęcia działań.

PUODO stwierdził, że fakt że do naruszenia doszło na skutek błędu Pana X nie znaczy, że nie jest to naruszenie, a poproszenie Pana Y o trwałe usunięcie maila nie oznacza, że ryzyko dla praw i wolności osób, których dane dotyczą jest niskie.

Okolicznością łagodzącą był fakt, że dane dotyczyły tylko dwóch osób – Pana X i Pana Y, a Pan Y poproszony przez Wartę błędnie przesłane dane trwale usunął ze swojej poczty.

Wnioski

PUODO zaczyna się rozkręcać – w grudniu 2020 r. nałożył aż trzy kary za naruszenie ochrony danych osobowych. Stanowi to prawie 20% wszystkich kar pieniężnych wydanych przez PUODO do tej pory. W styczniu 2021 PUODO nałożył już jedną karę, więc można stwierdzić, że w nowym roku idzie jak burza!

Z decyzji organu wynika również, że bardzo ważne jest odpowiednie dobranie podmiotów przetwarzających, bo koniec końców to Administrator odpowiada za ewentualne naruszenia ochrony danych osobowych z ich strony.

Last but not least, w przypadku naruszenia lepiej zawiadomić PUODO i osoby objęte naruszeniem niż tego nie robić.

Autorką artykułu jest r. pr. Dagmara Dłużewska.

Również o tej karze opowiadała r.pr. Dagmara Dłużewska podczas naszego ostatniego spotkania z cyklu Legal Affrenoon. Nagranie całego spotkania możesz zobaczyć poniżej oraz na naszym kanale na You Tube.

Dowiedz się więcej: