Dziennik Ubezpieczeniowy

Dziennik Ubezpieczeniowy >> Szukaj 

 

Archiwum :: O Dzienniku :: Prenumerata 

 Szukaj

 

 

Artykuł: <<< 2020-12-30 >>>

 

Punkty widzenia

 

Nawigacja

2020-12-31  

|<<

   

 >>|

2020-12-30  

|<< 

<<<

>>>

 >>|

2020-12-29  

|<<

     

 

Data publikacji: 2020-12-30

Dz.U. nr: 5146

Kara dla Warty od Prezesa UODO, czyli o Peselozie

(Barta Litwiński, UODO, Warta)

Prezes UODO od wielu lat łączy z faktem ujawnienia numeru PESEL istnienie wysokiego poziomu ryzyka dla praw i wolności osób fizycznych. Niestety, nie wiemy do końca, dlaczego tak właśnie jest, jako że jak dotychczas nie sposób było odnaleźć przekonujące uzasadnienie takiego poglądu, poza przykładami medialnymi.

- dr Paweł Litwiński, adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów

 

Decyzja Prezesa UODO o nałożeniu na TUiR Warta S.A. kary pieniężnej w wysokości 85.588 zł (decyzja z 9 grudnia 2020 r., DKN.5131.5.2020), która została podana do wiadomości publicznej 29 grudnia br., została wydana w bardzo prostym stanie faktycznym: oto korespondencja z klientem została wysłana na niewłaściwy adres poczty elektronicznej, który okazał się adresem innej osoby (zobacz także: UODO: Warta ukarana za niezgłoszenie naruszenia danych osobowych). A ta osoba życzliwie o całej sprawie doniosła Prezesowi UODO.

Korespondencja została wysłana do niewłaściwej osoby nie przez ukarane Towarzystwo, ale przez jednego z agentów, który pełnił rolę podmiotu przetwarzającego. Dlaczego więc kara została nałożona na Towarzystwo? Bo powodem nałożenia kary było niedokonanie zgłoszenia naruszenia bezpieczeństwa danych osobowych do Prezesa UODO i niepoinformowanie osób, których dane dotyczą (a nie wyciek danych jako taki). Ponieważ są to obowiązki administratora danych, które w tym przypadku ciążą na Towarzystwie, to właśnie na Towarzystwo została nałożona kara.

Peseloza

Właśnie, "niezgłoszenie" i "niepoinformowanie" - przecież nie zgłaszamy każdego naruszenia i nie informujemy o każdym naruszeniu! Co więc takiego się stało? Naruszenie polegało na tym, że pocztą elektroniczną do niewłaściwej osoby wysłano polisę, która zawierała dane osobowe dwóch osób w zakresie:

"imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy".

Prezes UODO przyjmuje, że Warta powinna była zgłosić naruszenie i poinformować o nim osoby, których dane dotyczą.

Mamy więc ubezpieczenie pojazdu, żadnych danych dotyczących zdrowia, czy w inny sposób wrażliwych. I w tym stanie faktycznym Prezes UODO przyjmuje, że Towarzystwo powinno było zgłosić naruszenie i poinformować o nim osoby, których dane dotyczą. Na czym Prezes UODO oparł swoją ocenę? Cóż, trudno to do końca ocenić, ponieważ odpowiedni fragment decyzji brzmi tak:

"Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi": "Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia". Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w omawianym przypadku. Nie bez znaczenia dla takiej oceny jest możliwość łatwej w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem. W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem [...]."

Rzuca się w oczy płynne przejście z "ryzyka" na "wysokie ryzyko", bez jakiegokolwiek uzasadnienia - a przecież w odpowiednich przepisach RODO mamy zupełnie inną terminologię: małe prawdopodobieństwo wystąpienia ryzyka i wysokie ryzyko, które może być spowodowane naruszeniem. Z drugiej strony dla osób, które śledzą orzecznictwo w podobnych sprawach, decydującym elementem układanki jest nr PESEL: otóż Prezes UODO od wielu lat łączy z faktem ujawnienia numeru PESEL istnienie wysokiego poziomu ryzyka dla praw i wolności osób fizycznych. Niestety, nie wiemy do końca, dlaczego tak właśnie jest, jako że jak dotychczas nie sposób było odnaleźć przekonujące uzasadnienie takiego poglądu, poza przykładami medialnymi.

W decyzji Prezesa UODO rzuca się w oczy płynne przejście z "ryzyka" na "wysokie ryzyko", bez jakiegokolwiek uzasadnienia.

Nie wiemy, w jaki sposób Towarzystwo oceniało ryzyko naruszenia praw i wolności w wyniku naruszenia i prawdopodobieństwo jego ziszczenia się; nie wiemy, na ile przekonująca jest argumentacja o tym, że nie mamy tutaj wysokiego ryzyka. Będzie to natomiast pierwszy znany mi przypadek, w którym ta tzw. Peseloza zostanie zweryfikowana przez sąd administracyjny.

Inne wnioski

Prócz tych zasadniczych wątpliwości, z decyzji płyną też inne wnioski, już znacznie mniej kontrowersyjne. Jakie? Po pierwsze, nie ma żadnego znaczenia to, że osoba, która weszła w posiadanie danych na skutek naruszenia bezpieczeństwa danych osobowych, zobowiąże się do ich zniszczenia - jeżeli administrator danych nie może tego wymóc (bo ta osoba jest np. jego pracownikiem), a w tym przypadku nie mógł, wówczas nie powinien brać tego w ogóle pod uwagę. Po drugie, powstaje pytanie o to, czy i jak potwierdzać adresy poczty elektronicznej podawane przez klientów - bo że nie można im ufać na słowo, to wiemy właśnie z tej decyzji. I po trzecie wreszcie, ryzyko związane z przesyłaniem dokumentów zawierających dane osobowe pocztą elektroniczną można i trzeba minimalizować, np. przez szyfrowanie tych dokumentów i przesyłanie hasła innym kanałem komunikacji. Nie zmienia to jednak podstawowego pytania o ocenę ryzyka naruszenia praw i wolności osób fizycznych, która leży u podstaw całej tej sprawy.

dr Paweł Litwiński

Adwokat, partner w Barta Litwiński Kancelaria Radców Prawnych i Adwokatów

 

Linki:  

Zobacz także:

Komentarz Kolekcjonera danych

 

Zobacz firmy: Barta Litwiński, UODO, Warta

 

Komentuj Prześlij  Drukuj

Artykuł: <<< 2020-12-30 >>>

 

 

 

Profesjonalnie o ubezpieczeniach..

Miesięcznik Ubezpieczeniowy

 

 
 Strona przygotowana przez Ogma Sp. z o.o.