Obowiązek zgłaszania naruszenia ochrony danych osobowych organowi nadzoru, jak również obowiązek poinformowania o tym fakcie osoby, której dane dotyczą, wynika wprost z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55 RODO, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgodnie natomiast z art. 34 ust. 1 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Naruszenie powyższych obowiązków może spowodować nałożenie przez organ nadzoru kary administracyjnej na podstawie przepisu art. 83 ust. 4 lit. a), zgodnie z którym naruszenie przepisów dotyczących obowiązków administratora i podmiotu przetwarzającego, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 RODO podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Biorąc pod uwagę wydaną przez Prezesa Urzędu Ochrony Danych Osobowych w dniu 21 czerwca 2021 r. decyzję w przedmiocie braku zgłoszenia organowi nadzoru przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. (dalej: ERGO HESTIA) faktu naruszenia ochrony danych osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, należy pamiętać, iż organ nadzoru monitoruje i egzekwuje wypełnianie powyższych obowiązków przez podmioty nadzorowane.
Jak wynika z przedstawionego w ww. decyzji stanu faktycznego, Prezes UODO otrzymał zgłoszenie o naruszeniu ochrony danych osobowych dokonanym przez spółkę będącą agentem ubezpieczeniowym (a zarazem przedmiotem przetwarzającym) działającym na podstawie zawartej umowy agencyjnej w imieniu ERGO HESTIA. W zgłoszeniu naruszenia ochrony danych osobowych spółka poinformowała, że naruszenie polegało na wpisaniu błędnego adresu e-mail i wysłaniu przez pomyłkę przez pracownika spółki pocztą elektroniczną do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych zawierającej dane osobowe w postaci imienia i nazwiska, których administratorem była spółka, oraz ofert ubezpieczenia i kalkulacji zawierających dane osobowe w postaci: imienia, nazwiska, nr PESEL, miejscowości, kodu pocztowego, informacji o przedmiocie ubezpieczenia (dom), informacji o produkcie ubezpieczeniowym, sumie ubezpieczenia/sumie gwarancyjnej, których administratorami były trzy towarzystwa ubezpieczeń, w tym ERGO HESTIA. Spółka, stosownie do roli, w jakiej występowała w relacjach z towarzystwami ubezpieczeń, tj. jako podmiot przetwarzający dane w imieniu tych towarzystw, zawiadomiła je o powstałym naruszeniu. Ponadto, mimo iż spółka była administratorem jedynie w zakresie imienia i nazwiska, to ze względu na pozostałe dane, które również zostały ujawnione, zdecydowała się dokonać zgłoszenia naruszenia ochrony danych osobowych również Prezesowi UODO.
W wyniku przeprowadzonej przez Prezesa UODO weryfikacji, okazało się, że zgłoszenia naruszenia na podstawie art. 33 RODO, jako administratorzy danych, dokonały wyłącznie dwa towarzystwa, natomiast zgłoszenie nie zostało dokonane przez ERGO HESTIA. W odpowiedzi na żądanie wyjaśnień złożone przez organ nadzoru, ERGO HESTIA potwierdziła, iż w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej przez nią oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznała, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie.
Przeprowadzona przez ERGO HESTIA analiza ryzyka wzbudziła jednak wątpliwości organu nadzorczego, co do prawidłowości jej wykonania. Organ nadzoru wskazał, iż w przedstawionym formularzu ERGO HESTIA dokonując oceny powagi potencjalnych skutków naruszenia dopuściła się szeregu błędów, jak również nieprawidłowości polegających w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania. Wśród wymienionych przykładów naruszeń organ nadzoru wskazał, m.in. iż przy ocenie rodzaju i stopnia wrażliwości danych osobowych ERGO HESTIA wskazała, iż dane objęte tym naruszeniem należy zakwalifikować do kategorii danych podstawowych przyrównując tym samym ujawnienie numeru PESEL do ujawnienia danych dotyczących lokalizacji, czy plików cookies. Ponadto, mimo zakresu ujawnionych danych, ERGO HESTIA oceniła łatwość identyfikacji osób na skutek naruszenia, jako „ograniczoną”. Tu również organ nadzoru stwierdził nieprawidłowość, gdyż na podstawie przedstawionych przez ERGO HESTIA dodatkowych wyjaśnień dla skali „wysokiego prawdopodobieństwa identyfikacji” jako przykład zostały wskazane sytuacje, gdy dochodzi do ujawnienia „numeru identyfikacyjnego PESEL w połączeniu z innymi danymi, np. imieniem i nazwiskiem, adresem, e-mail, lub adresem zamieszkania”, co ewidentnie miało miejsce w przedmiotowej sprawie.
Zdaniem Prezesa UODO w tej sprawie doszło do naruszenia bezpieczeństwa danych, ponieważ dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, a zakres tych danych przesądził o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powyższe skutkowało zatem powstaniem po stronie ERGO HESTIA obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, co nie zostało uczynione.
Prezes UODO po rozpatrzeniu sprawy podjął decyzję o nałożeniu na ERGO HESTIA pieniężnej kary administracyjnej w wysokości 159.176,00 PLN a także nakazał zawiadomić osobę, której dane dotyczyły, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:
- opisu charakteru naruszenia ochrony danych osobowych;
- imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
- opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków, w terminie 3 dni od dnia doręczenia decyzji.
Decyzja jest ostateczna, ale ERGO HESTIA ma prawo wnieść skargę do Wojewódzkiego Sądu Administracyjnego.
Rekomendacje CZTR:
Biorąc pod uwagę dotkliwość kar administracyjnych przewidzianych w RODO oraz dotychczasową praktykę Prezesa UODO, administratorom danych osobowych rekomendujemy rzetelne ocenianie naruszeń bezpieczeństwa danych oraz w odpowiednich przypadkach informowanie organu nadzoru a także osobę, której naruszenie dotyczy, w przypadku powzięcia informacji o zaistnieniu naruszeń ochrony danych osobowych skutkujących ryzykiem naruszenia praw lub wolności osób fizycznych.
