Decyzja
ZWAD.405.27.2018
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2017 r. poz. 1257 ze zm.), zwanej dalej „Kpa”, w związku z art. 58 ust. 2 lit. e rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1), zwanego dalej „ogólnym rozporządzeniem o ochronie danych” lub „RODO”, po przeprowadzeniu postępowania administracyjnego w sprawie niezawiadomienia przez Y. S.A., osoby, której dotyczy naruszenie ochrony danych osobowych, niezgodnie z art. 34 ust. 2 RODO, Prezes Urzędu Ochrony Danych Osobowych
nakazuje ponowne zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej wszystkich informacji wymaganych zgodnie z art. 34 ust. 2 RODO, tj.:
- opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
- opisu środków proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,
w terminie 3 dni od dnia, w którym niniejsza decyzja stanie się ostateczna.
Uzasadnienie
W dniu […] lipca 2018 r. pełnomocnik Y. S.A., zwane dalej również „T.” lub „Y. S.A.”, złożył do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych (data stwierdzenia: […] lipca 2018 r. godz. […]). Naruszenie polegało na przesłaniu wiadomości e-mail dotyczącej jednego z klientów Y. S.A. na niewłaściwy adres poczty elektronicznej, w wyniku czego dane osobowe klienta zostały udostępnione osobie nieuprawnionej. Wysyłka wiadomości e-mail z danymi osobowymi klienta miała charakter jednorazowy. W zgłoszeniu administrator podał, że naruszenie dotyczyło takich danych jak: imię, nazwisko, adres zameldowania (tożsamy z adresem korespondencyjnym), numer PESEL, numer telefonu, dane pojazdu (w tym nr rejestracyjny i numer VIN), numer propozycji/polisy. Administrator ocenił ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jako średnie i zrezygnował z zawiadomienia tej osoby o zdarzeniu, wskazując, że po naruszeniu administrator zastosował środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, zgodnie z art. 34 ust. 3 lit. b RODO, tj. skierował do osoby, która otrzymała dane jej niedotyczące, informację o konieczności usunięcia wiadomości elektronicznej oraz o poufności danych zawartych w tej wiadomości i zakazie ich wykorzystywania.
W dniu […] lipca 2018 r. Prezes Urzędu Ochrony Danych Osobowych na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U.2018.1000 z dnia 2018.05.24 z późn. zm.), zwanej dalej „ustawą o ochronie danych osobowych”, oraz art. 34 ust. 4 RODO, skierował do Y. S.A. wystąpienie, w którym wezwał do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz przekazania tej osobie zaleceń odnośnie zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia. W wystąpieniu Prezes UODO wskazał, że naruszenie poufności takich danych osobowych jak: numer PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania, danymi lokalizacyjnymi, a także dokumentacją dotyczącą ubezpieczanego pojazdu powoduje wysokie ryzyko dla praw i wolności osoby w związku z następującymi przykładowymi zagrożeniami:
- uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych;
- uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono;
- korzystanie z praw obywatelskich osoby, której dane naruszono, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
- wyłudzenie ubezpieczenia.
Prezes UODO wskazał również, że osobie, której dane dotyczą powinny być udzielone zalecenia co do środków, jakie może ona podjąć w celu zabezpieczenia się przed negatywnymi skutkami naruszenia i wskazał następujące przykłady:
- możliwość założenia konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej;
- zasugerowanie osobie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.
Jednocześnie Prezes UODO wezwał do powiadomienia go w terminie 30 dni od dnia otrzymania wystąpienia o działaniach podjętych w związku z niniejszym wystąpieniem, tj.: zawiadomieniu osoby o zaistniałym naruszeniu zgodnie z art. 34 ust. 1 RODO i przekazaniu jej stosownych zaleceń, a także o działaniach podjętych w celu wyeliminowania podobnych nieprawidłowości w przyszłości.
W odpowiedzi na powyższe, Y. S.A. pismem z dnia […] sierpnia 2018 r. zwróciła się o ponowne rozważenie stanowiska Prezesa UODO zaprezentowanego w wystąpieniu, ponieważ w ocenie T. w przedmiotowym przypadku nie występowało wysokie ryzyko naruszenia praw i wolności osoby, której dane dotyczą, ponieważ:
- dane tylko jednej osoby zostały ujawnione tylko jednej innej osobie (błędnemu adresatowi). Gdyby baza klientów została upubliczniona w Internecie, dostęp do danych byłby szeroki.
- czas trwania naruszenia był krótki (minęło tylko kilka dni od czasu zaistnienia naruszenia do czasu jego stwierdzenia i zawsze w takich sytuacjach błędny adresat był proszony o usunięcie wiadomości). Wysokie ryzyko mogłoby powstać, gdyby czas pomiędzy naruszeniem a jego stwierdzeniem wynosił kilka tygodni, miesięcy, lat albo wciąż trwał.
- zakres danych nie obejmował szczególnych kategorii danych ani serii i numeru dokumentu tożsamości.
T. zakwestionowało również wysokie prawdopodobieństwo negatywnych skutków dla osoby, której dane dotyczą, poprzez nieuprawnione wykorzystanie jej danych w przykładowych celach wskazanych przez Prezesa UODO, wskazując, że:
- w odniesieniu do prawdopodobieństwa uzyskania na szkodę osoby, której dane dotyczą, kredytów w instytucjach pozabankowych - nie jest możliwe, aby uzyskać kredyt w takich instytucjach, bo instytucje pożyczkowe zobowiązane są do identyfikacji klienta również poprzez ustalenie serii i numeru dokumentu tożsamości;
- w odniesieniu do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej - korzystanie z takich świadczeń wymaga okazania dokumentu tożsamości albo wyłącznie podania imienia i nazwiska. W opinii T. korzystanie z takich świadczeń nie stanowi wysokiego ryzyka naruszenia praw i wolności osoby, której dane zostały naruszone, może co najwyżej wygenerować koszty po stronie państwa za udzielenie świadczenia nieubezpieczonej osobie;
- w odniesieniu do wykorzystania danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego – oddanie głosu wymaga tylko podania imienia i nazwiska oraz miejsca zamieszkania osoby. W opinii T., jeśli ktoś chce wykorzystać cudzą tożsamość w powyższym celu, może to zrobić podszywając się np. pod sąsiada bez uzyskiwania jego dodatkowych danych poza imieniem i nazwiskiem;
- w odniesieniu do wyłudzenia ubezpieczenia - nie jest możliwe skorzystanie np. z przysługujących innej osobie uprawnień w zakresie ubezpieczenia komunikacyjnego, bo w razie stłuczki dla weryfikacji uprawnień potrzebne jest prawo jazdy, a ponadto w zdarzeniu musi uczestniczyć też ubezpieczony pojazd. W przypadku innych umów ubezpieczenia towarzystwo jest obowiązane w momencie wypłaty ubezpieczenia ustalać osoby uprawnione z tytułu umowy ubezpieczenia na podstawie dokumentu stwierdzającego tożsamość.
T. wskazało również, że zastosowało środki naprawcze, tj. m.in.:
- skierowanie do adresata błędnego adresu prośby o trwałe usunięcie wiadomości, wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.
- pouczenie pracowników wprowadzających dane osobowe przekazywane przez klientów lub potencjalnych klientów o konieczności uważnego zapisywania danych odbiorcy wiadomości elektronicznej, a w razie wątpliwości co do treści tych danych - wyjaśnienie tych wątpliwości z klientem lub potencjalnym klientem przed wysłaniem wiadomości zawierającej dane osobowe;
- sprostowanie w systemie danych osobowych, jeżeli zostały źle zapisane.
Jednocześnie T. zwróciło się do Prezesa UODO o zmianę stanowiska w zakresie wskazanego w wystąpieniu przypadku, które z dużym prawdopodobieństwem jest również wskazywane przez UODO innym administratorom i mediom. Wskazało, że równie ważne, co zapobieganie takim sytuacjom, jest kreowanie świadomości obywateli. Jednakże Y. S.A., jako „zakładowi ubezpieczeń, bardzo zależy, aby produkty ubezpieczeniowe kojarzyły się obywatelom z bezpieczeństwem”.
W związku z niezastosowaniem się administratora do zaleceń Prezesa UODO w dniu […] sierpnia 2018 r. do Y. S.A. zostało przesłane wezwanie nakazujące zastosowanie się do wystąpienia z dnia […] lipca 2018 r.
W odpowiedzi na to wezwanie, pismem z dnia […] września 2018 r., T. wskazało, że nie ma ono możliwości spełnić żądania organu nadzorczego w zakresie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, ponieważ wystąpienie z art. 52 ust. 1 ustawy o ochronie danych osobowych, w którym obowiązek taki został na T. nałożony, nie jest aktem administracyjnym, nie ma charakteru władczego i nie stanowi środka służącego realizacji kompetencji Prezesa UODO. Ponadto Y. S.A. podniosło, że adresat wystąpienia nie ma możliwości kwestionowania tez zawartych w wystąpieniu na drodze postępowania administracyjnego lub sądowoadministracyjnego.
[…] października 2018 r. na podstawie art. 61 § 1 i 4 Kpa w związku z art. 58 ust. 2 lit. e) RODO wszczęte zostało postępowanie administracyjne w sprawie niezawiadomienia przez Y. S.A. osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych zgodnie z art. 34 RODO.
Pismem z dnia […] października 2018 r. Y. S.A. poinformowała Prezesa UODO, że zdecydowała się zawiadomić osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i że zawiadomienie nastąpi nie później niż do dnia […] października 2018 r. W dniu […] października 2018 r. (data wpływu do UODO) T. poinformowało, że osoba, której dane dotyczą, została zawiadomiona o naruszeniu […] października 2018 r. Jednocześnie T. przekazało zanonimizowaną treść zawiadomienia, w którym wskazało osobie, na czym polegało naruszenie ochrony danych osobowych oraz podało adres mailowy do inspektora ochrony danych osobowych. Poinformowało również, że w celu zminimalizowania negatywnych skutków naruszenia ochrony danych osobowych skierowało do odbiorcy błędnego adresu prośbę o trwałe usunięcie wiadomości oraz sprostowało błędny adres e-mail w systemie Y. S.A. Pouczyło również pracowników wprowadzających dane osobowe klientów lub potencjalnych klientów, o konieczności uważnego zapisywania danych odbiorcy wiadomości elektronicznej, a w razie wątpliwości co do treści tych danych – o wyjaśnienie tych wątpliwości z właściwymi osobami przed wysyłaniem wiadomości zawierającej dane osobowe. W zakresie opisu możliwych konsekwencji naruszenia T. wskazało, że „na skutek naruszenia ochrony danych osobowych osoba trzecia może posłużyć się Pana danymi”.
W tym stanie faktycznym Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Art. 34 ust. 1 ogólnego rozporządzenia ochrony danych osobowych wskazuje, że w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 RODO prawidłowe zawiadomienie powinno:
- jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
- zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b, c i d RODO, czyli:
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opis możliwych konsekwencji naruszenia ochrony danych osobowych;
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zawiadomienie przesłane […] października 2018 r. przez Y. S.A. do osoby, której dane dotyczą, nie jest prawidłowe, ponieważ nie zawiera dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie może być narażona osoba, której dane dotyczą, oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia. Tym samym nie spełnia ono warunków określonych w art. 34 ust. 2 w związku z art. 33 lit. c i d RODO.
Prezes UODO korzystając ze swoich uprawnień, jakie przysługują mu na podstawie art. 52 ust. 1 ustawy o ochronie danych osobowych, skierował do Y. S.A. wystąpienie zmierzające do zapewnienia skutecznej ochrony danych osobowych. Wskazał w nim, że naruszenie poufności danych takich jak numer PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania, danymi lokalizacyjnymi, a także dokumentacją dotyczącą ubezpieczanego pojazdu powoduje wysokie ryzyko dla praw i wolności osoby, wymaga zawiadomienia osoby o naruszeniu celem poinformowania jej m.in. o możliwych negatywnych skutkach naruszenia oraz działaniach (środkach), jakie może ona podjąć w celu zabezpieczenia przed negatywnymi skutkami naruszenia. W swoim wystąpieniu Prezes UODO podpowiedział administratorowi, w jakich możliwych nieuprawnionych celach dane osoby mogą być wykorzystane oraz o jakich przykładowych środkach zabezpieczających powinna być ona powiadomiona w celu zabezpieczenia się przed negatywnymi skutkami naruszenia.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest na podstawie art. 34 ust. RODO bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw i wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej. W motywie 86 preambuły RODO wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. Na przykład potrzeba zminimalizowania bezpośredniego ryzyka wystąpienia szkody będzie wymagać niezwłocznego poinformowania osób, których dane dotyczą, natomiast wdrożenie odpowiednich środków przeciwko takim samym lub podobnym naruszeniom ochrony danych może uzasadniać późniejsze poinformowanie”.
Y. S.A. zdecydowała się zawiadomić osobę, o naruszeniu dopiero po wszczęciu postępowania administracyjnego w niniejszej sprawie (co nastąpiło […] października 2018 r.). Jednakże w zawiadomieniu, które skierowała do osoby, której dane dotyczą w dniu […] października 2018 r. nie wskazała osobie możliwych sposobów nieuprawnionego wykorzystania danych ograniczając się jedynie do stwierdzenia „W konsekwencji powyższego osoba trzecia może posłużyć się Pana danymi”. Zawiadomienie osoby, nie obejmowało również wskazania środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
Prezes UODO w swoim wystąpieniu z dnia […] lipca 2018 r. wskazał możliwe konsekwencje naruszenia ochrony danych osobowych, jakie mogłyby być przekazane osobie, której dane dotyczą. Mimo wynikającego z art. 34 ust. 3 w związku z art. 33 ust 3 lit. c RODO obowiązku przekazywania osobie, której dane dotyczą, opisu możliwych konsekwencji naruszenia, T. nie przekazało tej osobie ani opisu konsekwencji zasugerowanych przez organ nadzorczy, ani opisu jakichkolwiek innych konsekwencji naruszenia ochrony danych osobowych. Zauważyć należy, że wbrew przeciwnemu stanowisku T., możliwe jest uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji – w celu pozyskania jak największej liczby klientów umożliwia uzyskanie pożyczki lub kredytu w łatwy, szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości.
Dane takie jak imię i nazwisko wraz z nr PESEL mogą być również wykorzystane do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia osoby, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL.
Podanie imienia, nazwiska i numeru PESEL jest wystarczające w większości przypadków dla zagłosowania na wybrany projekt obywatelski w ramach budżetu partycypacyjnego i dotychczas zdarzały się przypadki podszywania pod inne osoby w celu uzyskania dodatkowych głosów. Większość władz lokalnych, umożliwia oddanie głosu za pomocą elektronicznego formularza, a formą uwierzytelnienia tożsamości osoby oddającej swój głos jest wskazanie w formularzu głosowania imienia, nazwiska oraz numeru PESEL. Również głosujący w formie tradycyjnej (papierowe karty do głosowania) są w wielu gminach zobowiązani do wskazania imienia, nazwiska, miejsca zamieszkania oraz numeru PESEL.
Dane osobowe innej osoby mogą być również wykorzystane w celu wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego oszustwa.
Oprócz obowiązku wskazania osobie, której dane dotyczą, opisu możliwych konsekwencji naruszenia, T. zobowiązane było również na podstawie z art. 34 ust. 3 w związku z art. 33 ust 3 lit. d RODO do przekazania osobie, której dane dotyczą, opisu środków proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych, w tym środków, które osoba może podjąć w celu zminimalizowania ewentualnych negatywnych skutków naruszenia. T. nie wywiązało się z tego obowiązku i nie przekazało osobie żadnych zaleceń w tym zakresie.
Art. 34 ust. 1 i 2 RODO ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw i wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z przepisu art. 5 ust. 1 lit. a RODO. (por.Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w tym przepisie ma zapewnić osobie, której dane dotyczą - szybko i w sposób przejrzysty - informację o naruszeniu ochrony jej danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które może ona podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępujące zgodnie z prawem i wykazujące dbałość zarówno o bezpieczeństwo produktów ubezpieczeniowych, jak i o interesy osoby, której dane dotyczą, T. powinno było zatem bez zbędnej zwłoki zapewnić, osobie, której dane dotyczą, możliwość jak najlepszej ochrony jej praw i wolności wystawionych na ryzyko wynikające z naruszenia ochrony danych osobowych. Dla osiągnięcia tego celu konieczne jest przynajmniej wskazanie m.in. tych informacji, które wymienione są w art. 34 ust. 2 w związku z art. 33 ust. 3 lit. c i d RODO, z którego to obowiązku T. się nie wywiązało.
Wobec powyższego Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął jak w sentencji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 1302, t. j. z dnia 2018.07.05). Strona ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.