Prezes Urzędu Ochrony Danych Osobowych (PUODO) na początku grudnia 2020 r. nałożył na Towarzystwo Ubezpieczeń i Reasekuracji Warta S.A. karę w wysokości 85 588 zł.
Kara nie została nałożona bezpośrednio na Wartę, ale na jej agenta (tzw. podmiot przetwarzający), który na zlecenie Warty wykonywał dla niej usługi. Zgodnie z RODO Administrator (tutaj: Warta) odpowiada za postępowanie swoich procesorów, dlatego to Warta musi zapłacić karę.
Jak to się stało?
Agent wysłał maila z polisą ubezpieczeniową na samochód zamiast do Pana X – do Pana Y. Co ciekawe to Pan X podając agentowi swojego maila – pomylił się w adresie! Pan Y, który otrzymał błędnego maila z polisą, poinformował o tym fakcie PUODO. W mailu zawarte były takie dane jak: imię i nazwisko, adres zamieszkania numer PESEL oraz informacje co do ubezpieczanego pojazdu.
PUODO zwrócił się do Warty o wyjaśnienia. Zapytał, czy w związku z błędnie wysłanym mailem Warta przeprowadziła analizę pod kątem ryzyka naruszenia praw i wolności osób fizycznych, a jeżeli TAK – to co wyszło jej z tej analizy. Spółka potwierdziła, że taka sytuacja miała miejsce. Wskazała, że przeprowadziła analizę, ale z analizy wyszło jej, że nie trzeba zawiadamiać o tym naruszeniu PUODO, ani Pana X. WARTA wskazała, że Pan Y sam do niej napisał z informacją, że ktoś pomylił się wysyłając maila. Wtedy WARTA poprosiła Pana Y, aby usunął maila z błędnie przesłaną polisą i potwierdził fakt usunięcia mailowo.
A jednak postępowanie…
W treści korespondencji jaką wymienił PUODO z Wartą, PUODO wskazał w jaki sposób Warta możne zgłosić naruszenie. Mimo wskazówek, Warta nie zgłosiła naruszenia PUODO i nie poinformowała Pana X o „wycieku” jego danych. Organ nadzoru wszczął więc postępowanie wyjaśniające, które zmobilizowało Spółkę do podjęcia działań.
PUODO stwierdził, że fakt że do naruszenia doszło na skutek błędu Pana X nie znaczy, że nie jest to naruszenie, a poproszenie Pana Y o trwałe usunięcie maila nie oznacza, że ryzyko dla praw i wolności osób, których dane dotyczą jest niskie.
Okolicznością łagodzącą był fakt, że dane dotyczyły tylko dwóch osób – Pana X i Pana Y, a Pan Y poproszony przez Wartę błędnie przesłane dane trwale usunął ze swojej poczty.
Wnioski
PUODO zaczyna się rozkręcać – w grudniu 2020 r. nałożył aż trzy kary za naruszenie ochrony danych osobowych. Stanowi to prawie 20% wszystkich kar pieniężnych wydanych przez PUODO do tej pory. W styczniu 2021 PUODO nałożył już jedną karę, więc można stwierdzić, że w nowym roku idzie jak burza!
Z decyzji organu wynika również, że bardzo ważne jest odpowiednie dobranie podmiotów przetwarzających, bo koniec końców to Administrator odpowiada za ewentualne naruszenia ochrony danych osobowych z ich strony.
Last but not least, w przypadku naruszenia lepiej zawiadomić PUODO i osoby objęte naruszeniem niż tego nie robić.
Autorką artykułu jest r. pr. Dagmara Dłużewska.
Również o tej karze opowiadała r.pr. Dagmara Dłużewska podczas naszego ostatniego spotkania z cyklu Legal Affrenoon. Nagranie całego spotkania możesz zobaczyć poniżej oraz na naszym kanale na You Tube.
Dowiedz się więcej:
- Podcast „M&A^2, czyli Mirek i Asia o mergerach i antymonopolu”
- Nowe obowiązki raportowania wynikające z Rozporządzenia EUDR
- Zmiany w regulaminach skierowanych do konsumentów – Nextbike z karą ponad 791 tys. zł
- MrBeast – Przegrana batalia prawna przez youtubera
- Zatory płatnicze – wracają twarde interwencje Prezesa UOKiK