Ten wpis ma na celu wskazanie na najnowsze stanowisko PUODO, które może mieć w opinii autora znaczne konsekwencje dla Administratorów, wyrażone w decyzji PUODO z dnia 9.12.2020 r., znak sprawy: DKN.5131.5.2020 w zakresie obowiązku zgłaszania naruszeń ochrony danych osobowych, bez względu na to, czy są konsekwencją działania (zawinionego lub nie) osoby fizycznej, której dane dotyczą, czy też Administratora.
Przypomina się o ciążącym na Administratorze obowiązku w zakresie zgłaszania naruszeń ochrony danych osobowych wypływającym wprost z art. 33 ust. 1 RODO:
„W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.”
Wskazując na konsekwencje jakie dla Administratora mogą płynąć z niezgłoszenia faktu naruszenia ochrony danych osobowych, które to odczuła spółka Towarzystwo Ubezpieczeń i Reasekuracji Warta S.A. Decyzją PUODO z dnia 9.12.2020 r. została na nią nałożona kara administracyjna w wysokości 85.588 złotych.
Kara została nałożona w wyniku kontroli podjętej w związku z informacją przesłaną od osoby postronnej, iż naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata (naruszenie dotyczyło 2 osób fizycznych).
Załączony dokument zawierał dane osobowe w zakresie w szczególności imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy). Organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.
Spółka, pomimo skierowania do niej pisma PUODO z wnioskiem o wyjaśnienie zaistniałej sytuacji i z pouczeniem, iż koniecznym w ocenie organu było tak zgłoszenie naruszenia, jak i zawiadomienie osób, których dane dotyczą o tymże naruszeniu, dokonała rzeczonego zgłoszenia dopiero w momencie wszczęcia w stosunku do niej postępowania.
TUiR Warta S.A. w toku postępowania swoją decyzję w zakresie niezgłoszenia naruszenia uzasadniała faktem, iż nieprawidłowe dane otrzymała wprost od klienta. Organ uznał jednakże, że do incydentu doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych, albowiem na Administratorze ciąży obowiązek weryfikacji przekazywanych mu przez osobę fizyczną danych.
Organ w uzasadnieniu decyzji uznał, że należało przyjąć, iż istniało wysokie ryzyko naruszenia praw i wolności osób fizycznych, albowiem nie ma pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem Spółka nie ma możliwości jego faktycznej weryfikacji. W wytycznych Grupy Roboczej Art. 29 stwierdzono: To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”. W przedmiotowej sprawie nie ma jednak podstaw, by nieuprawnionego odbiorcę uznać i traktować jako „odbiorcę zaufanego”. Ponadto, Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
W praktyce dla Administratora, którego pracownik wyśle w wyniku omyłki korespondencję zawierającą dane osobowe do błędnego adresata spoza jego organizacji, który nie pozostaje w stałych stosunkach gospodarczych z Administratorem, na kanwie tej decyzji rodziłby się obowiązek każdorazowego zgłaszania faktu naruszenia ochrony danych osobowych. Decyzja ta może rodzić zastrzeżenia wielu praktyków ochrony danych osobowych i dyskurs, co do jej zasadności.
W kontekście powyższej kary Administratorzy winni mieć świadomość, iż zgłoszenie naruszenia ochrony danych osobowych, które prowadzi do naruszenia praw i wolności osób fizycznych winno zostać zgłoszone bez zbędnej zwłoki (w ciągu 72 godzin od jego stwierdzenia).
