Trzeba uważać komu wysyłany jest dokument potwierdzający przyznanie odszkodowania

Prezes Urzędu Ochrony Danych Osobowych nałożył na ubezpieczyciela administracyjną karę pieniężną w wysokości 103 752 zł za niezgłoszenie naruszenia danych osobowych bez zbędnej zwłoki (do 72 godzin od naruszenia). Do sytuacji tej doszło, gdy w wyniku „błędu ludzkiego” nieuprawniona osoba trzecia otrzymała mailowo dokument potwierdzający przyznanie odszkodowania klientowi. W wiadomości tej znalazły się m. in. imię, nazwisko, marka, model i numer rejestracyjny samochodu. Osoba, która otrzymała wiadomość od razu poinformowała towarzystwo ubezpieczeniowe o zaistniałej sytuacji, nie otrzymała jednak żadnej odpowiedzi zwrotnej. Ubezpieczyciel argumentował swoją bierność w postaci niepoinformowania PUODO tym, że dokonując analizy ryzyka w oparciu o ,,rekomendowaną na stronie UODO metodologię ENISA” oraz, dostępny w Internecie, darmowy kalkulator do oceny wagi naruszenia doszedł do wniosku, że naruszenie to nie zwiększa ryzyka dla naruszenia praw i wolności osoby, której dane dotyczą. Z tego też powodu odnotował wyciek danych w swoim wewnętrznym rejestrze administratora, nie poinformował jednak Prezesa UODO, co spowodowało wszczęcie postępowania wobec spółki. Organ podczas wyznaczania kary wziął pod uwagę m. in. długi czas naruszenia, umyślność oraz niski poziom współpracy z nadzorem. PUODO zaznaczył również, że towarzystwo ubezpieczeniowe zobowiązane jest do szczególnych czynności oraz do zachowania tajemnicy dotyczącej poszczególnych umów ubezpieczenia (zgodnie z art. 35 ust. 1 Ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej). Organ podkreślił też, że zgłoszenie przez administratora naruszenia danych osobowych nie może być uzależnione od zaistnienia naruszenia praw lub wolności osób fizycznych. Sama ocena ryzyka naruszenia powinna być dokonywana przez pryzmat osoby, której dotyczą dane, a nie interesów administratora. PUODO zaznaczył też, że zgłoszenie naruszenia to również bardzo ważne narzędzie weryfikacji, pozwalające ustalić organowi nadzorczemu czy administrator zastosował właściwe środki w celu zaradzenia naruszeniu i zminimalizowania jego negatywnych skutków oraz czy zastosował odpowiednie środki w celu zminimalizowania ryzyka jego ponownego wystąpienia.