Konsekwencje finansowe za nierzetelną analizę ryzyka w przypadku incydentu ochrony danych osobowych – kolejna kara Prezesa UODO

W przypadku wykrycia naruszenia ochrony danych osobowych skutkującego ryzykiem naruszenia praw i wolności osób fizycznych, administrator ma obowiązek powiadomienia o tym Prezesa Urzędu Ochrony Danych Osobowych (UODO). UODO dostrzega, że zdarza się, że administratorzy analizując poziom ryzyka próbują sztucznie go obniżać – tak aby nie ziściła się przesłanka kontaktu.  Takie działanie może spotkać się z poważnymi konsekwencjami – o czym przekonało się ostatnio jedno z towarzystw ubezpieczeniowych. Jak oceniać ryzyko, aby uniknąć kary? O tym poniżej.

Incydent – „krok po kroku”

Zasady wynikające z przepisów są stosunkowo proste. W razie wykrycia potencjalnego incydentu, Administrator ocenia, czy naruszenie mogło mieć wpływ na prawa i wolności osób fizycznych. Incydent należy zgłosić do UODO, chyba że jest mało prawdopodobne, by skutkował ryzykiem naruszenia prawa i wolności osób fizycznych. Natomiast jeżeli ryzyko jest wysokie, oprócz zgłoszenia do Urzędu, o incydencie należy także zawiadomić osobę, której dane dotyczą.

Najnowsza kara Prezesa UODO – tło sprawy

Właśnie taką analizę przeprowadziło  towarzystwo ubezpieczeniowe ERGO Hestia – jednak nieprawidłowo, wobec czego UODO nałożył na ten podmiot karę finansową w wysokości około 160 tysięcy złotych.

Najnowsza kara oparta jest na następującym stanie faktycznym: Pośrednik finansowy pełniący funkcję podmiotu przetwarzającego dane osobowe powierzone mu przez towarzystwa ubezpieczeniowe wysłał korespondencję zawierającą szereg danych osobowych (w tym m.in.: imię, nazwisko, numer PESEL, ofertę ubezpieczeniową kilku towarzystw) do niewłaściwego adresata. Pośrednik stwierdził w tym zakresie naruszenie ochrony danych i powiadomił administratorów – towarzystwa ubezpieczeniowe. Część z nich zgłosiła incydent, jednak zawiadomienia nie wpłynęły od wszystkich ubezpieczycieli.

UODO zwrócił się o wyjaśnienia do podmiotu, od którego nie otrzymał zawiadomienia. Ten wyjaśnił, że na podstawie wykonanej analizy ryzyka naruszenia praw i wolności osób fizycznych (na formularzu przygotowanym przez Spółkę, w oparciu o wskazania europejskiego organu – ENISA) stwierdził, że nie doszło do incydentu skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie.

W ocenie podmiotu zakres naruszonych danych był wąski, nieobjęty tajemnicą ubezpieczeniową i jego ujawnienie nie mogłoby spowodować skutków takich jak kradzież tożsamości, dyskryminacja czy straty finansowe. Dodatkowo spółka otrzymać miała oświadczenie nieuprawnionego adresata o tym, ze nie zapoznał się on z tymi danymi oraz zobowiązała pracowników procesora do szyfrowania wiadomości. Podkreślono brak posiadania danych kontaktowych niezbędnych do zawiadomienia osoby, której dane dotyczą.

Stanowisko UODO

Prezes UODO był jednak innego zdania. Ocenił, że zakres danych, który uległ naruszeniu, skutkuje wysokim ryzykiem naruszenia praw i wolności osób fizycznych, a brak takiego wniosku u administratora spowodowany był błędami w przeprowadzonej analizie ryzyka. Miała ona zostać przeprowadzona w sposób dowolny i nie z potrzeby realnej pomocy, a w celu wykazania braku obowiązku zgłoszenia.

W ocenie UODO błędy polegać miały w szczególności na:

  • zaniżaniu wyników w poszczególnych kryteriach (uznanie numeru PESEL za równie wrażliwy co pliki cookies),
  • braku uwzględnienia istotnych czynników dla poszczególnych kryteriów (np. brak uwzględnienia możliwości utraty poufności danych osobowych chronionych tajemnica zawodową), czy
  • uwzględnieniu czynników, które nie powinny mieć zastosowania (obniżenie oceny w związku z naruszeniem danych wyłącznie jednej osoby).

Wnioski dla administratorów

Ostatnio obserwujemy zwiększenie częstotliwości nakładania kar na administratorów danych osobowych przez Prezesa UODO. Kary, choć dotkliwe dla podmiotów, których dotyczą, stanowią źródło wiedzy oraz wskazówki dla administratorów. Jakie wnioski płyną z tej?

Przede wszystkim, każdą ocenę ryzyka naruszenia praw i wolności osób fizycznych należy wykonać rzetelnie oraz uważnie, unikając jej fasadowego przeprowadzenia w celu uzyskania wyniku umożliwiającego brak zgłoszenia naruszenia do organu.

Często, gdy wynik analizy ryzyka niejednoznacznie wskazuje na obowiązek zgłoszenia – lepszym pomysłem będzie zawiadomienie UODO niż próba uniknięcia kontaktu. W szczególności dlatego, że duża część zgłoszeń w praktyce nie generuje dalszych konsekwencji dla administratorów – pozostaje śladem w „archiwum” Urzędu, mówiącym o tym, że mimo iż zdarzył nam się incydent ochrony danych osobowych, to prawidłowo poradziliśmy sobie z jego negatywnymi skutkami.

Autor: Katarzyna Wężyk

ASSOCIATE DZIAŁ PRAWNY katarzyna.wezyk@olesinski.com

Autor: Katarzyna Serwatka

SENIOR ASSOCIATE RADCA PRAWNY katarzyna.serwatka@olesinski.com Więcej