Ubezpieczyciel ukarany za naruszenie RODO

Dodano: 30-12-2020
Publikator: Urząd Ochrony Danych Osobowych

TUiR WARTA S.A. została ukarana przez Prezesa UODO. Sankcję nałożono za niezgłoszenie do Prezesa Urzędu informacji o naruszeniu ochrony danych osobowych. Spółka ma zapłacić 85.588 zł kary.

W maju 2020 r. do Urzędu Ochrony Danych Osobowych wpłynęła informacja o naruszeniu ochrony danych osobowych, jakiego dokonał agent ubezpieczeniowy. Wysłał on pocztą elektroniczną polisę, zawierającą dane osobowe ubezpieczonego, do osoby nieuprawnionej, o czym poinformowała ona organ nadzorczy.

UODO, w związku ze zgłoszeniem naruszenia poufności danych osoby ubezpieczonej, zawartych w polisie, zwrócił się do zakładu ubezpieczeń z prośbą o wyjaśnienia. Zapytał m.in. czy WARTA dokonała analizy pod kątem ryzyka naruszenia praw i wolności osób fizycznych, co nakłada na administratora obowiązek zawiadomienia UODO oraz osoby, której dotyczy to naruszenie.

W odpowiedzi WARTA wskazała, że naruszenie powstało na skutek wysłania polisy na błędny adres poczty elektronicznej, podanej przez klienta. Odbiorca tej wiadomości sam zgłosił do zakładu ubezpieczeń i został poproszony o trwałe usunięcie wiadomości i potwierdzenie tego. Jednak o naruszeniu nie został bezpośrednio poinformowany właściciel polisy i Urząd.

W związku z czym Urząd wszczął postępowaniu administracyjne. Dopiero po tym WARTA poinformowała klienta o naruszeniu jego danych osobowych. PUODO uznał, że od momentu błędnej wysyłki do przekazania informacji osobie, której dane dotyczą, upłynęło aż 5 miesięcy, co stanowi w jego opinii okoliczność obciążającą.

„W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na  niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych. Administrator dopuszczając możliwość wykorzystania do komunikacji z klientem poczty elektronicznej powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu e-mail. W związku z tym w celu minimalizacji tych ryzyk administrator powinien wprowadzić odpowiednie środki organizacyjne  i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów. Również fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji nie może stanowić o tym, ze ryzyko dla praw i wolności osób, których dane dotyczą nie jest wysokie. Administrator nie ma pewności, że nieuprawniony adresat nie wykonał np. kserokopii dokumentów lub też ich nie utrwalił”, wyjaśnił Urząd w komunikacie.

Decyzja Prezesa UODO jest dostępna do pobrania w pełnej publikacji na portalu beinsured.pl.

wstecz