Opublikowano uzasadnienie wyroku WSA w Warszawie z kwietnia. W wyroku uchylono nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych (UODO), na Towarzystwo Ubezpieczeń Ergo Hestia S.A., karę prawie 160 tys. zł za naruszenie ochrony danych osobowych.
Decyzja
Organ stwierdził naruszenie art. 33 ust. 1 i 34 ust. 1 RODO przez administratora, który nie powiadomił organu i osoby fizycznej o naruszeniu ochrony danych osobowych bez zbędnej zwłoki. Wymierzono za to karę prawie 160 tys. zł i zobowiązano administratora do powiadomienia o naruszeniu osobę fizyczną. Naruszenie polegało na tym, że osoba zatrudniona przez podmiot przetwarzający w imieniu Towarzystwa (administratora), wysłała omyłkowo nieszyfrowany mail z danymi, takimi jak: imię, nazwisko, PESEL, miejscowość, kod pocztowy, oferta ubezpieczeniowa do niewłaściwej osoby.
Przed organem Towarzystwo argumentowało, że osoba, która w sposób nieuprawniony otrzymała dane, nie zapoznała się z nimi i dokonała ich usunięcia, co potwierdziła w pisemnym oświadczeniu. Złożono wniosek o jej przesłuchanie. Towarzystwo uznało, że nie doszło do negatywnych skutków incydentu, więc obowiązek informacyjny po jego stronie nie powstał. Organ nie przyjął tej argumentacji. Nie uznał też za stosowne przesłuchanie świadka. Wskazał, że oświadczenie świadka nie oznacza, że rzeczywiście usunął on dane, poza tym dostęp do nich mogły uzyskać osoby trzecie mające dostęp do jego skrzynki. Towarzystwo odwołało się od decyzji.
Wyrok
Na skutek złożonej skargi, Sąd uchylił decyzję Prezesa. Co ciekawe, Sąd nie podzielił głównej argumentacji Towarzystwa o braku naruszenia z powodu braku wystąpienia skutku tego naruszenia w postaci zapoznania się z danymi. Sąd przychylił się do stanowiska Organu, że do naruszenia ochrony danych wystarczy samo uzyskanie dostępu do danych, a odbiorca nie musi się z nimi zapoznać. Dlatego nie analizował kwestii oświadczenia osoby, do której wysłano dane, ani jej zeznań.
Sąd przychylił się natomiast do zarzutu ewentualnego sformułowanego przez Towarzystwo. Nakładając karę Prezes UODO wskazał, że dane pozwalały na identyfikację osoby w stopniu wystarczającym do zawierania na nią umów, m.in. świadczeń medycznych czy wyłudzenia kredytu (chwilówki), a także zawierały informacje o stanie majątkowym tej osoby. Co więcej, Organ dodał, że nieograniczony krąg osób mógł mieć dostęp do danych (hakerzy, osoby trzecie). Sąd jednak wytknął, że Prezes UODO nie wykazał w decyzji zasadności tych obaw w konkretnym stanie faktycznym, w tym możliwości poznania stanu majątkowego osoby, a jedynie wymienił potencjalne skutki naruszenia. Nie oznacza to, że do naruszenia nie doszło, ale organ nakładając karę nie wykazał, że ryzyko naruszenia praw i wolności osób fizycznych są na tyle znaczne, że zaszła potrzeba powiadomienia osoby fizycznej, a tym samym, że nałożenie kary w tej wysokości za naruszenie art. 34 ust. 1 RODO jest zasadne.
Materiał Partnera beinsured.pl: