DKN.5131.3.2021
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 poz. 735), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. e) oraz i), art. 83 ust. 1 i ust. 2, art. 83 ust. 4 lit. a) w związku z art. 33 ust. 1 oraz art. 34 ust. 1, 2 i 4 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str.2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego wszczętego z urzędu w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […], Prezes Urzędu Ochrony Danych Osobowych,
1) stwierdzając naruszenie przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […] przepisów art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osoby, której dane dotyczą, nakłada na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. […] administracyjną karę pieniężną w wysokości 159.176 PLN (słownie: sto pięćdziesiąt dziewięć tysięcy sto siedemdziesiąt sześć złotych),
2) nakazuje Sopockiemu Towarzystwu Ubezpieczeń ERGO Hestia S.A. […] zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych w celu przekazania jej informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu - w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków,
w terminie 3 dni od dnia jej doręczenia.
Uzasadnienie
Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również ,,Prezesem UODO”, dnia […] września 2020 r. otrzymał zgłoszenie naruszenia ochrony danych osobowych dokonane przez X Sp. z o.o., zwaną dalej również X. Naruszenie polegało na wysłaniu w dniu […] września 2021 r. pocztą elektroniczną do niewłaściwego odbiorcy przez X, będący podmiotem przetwarzającym (w związku z zawartą umową agencyjną) dla Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A. […], zwanej dalej również ,,Spółką”, analizy potrzeb ubezpieczeniowych zawierającej dane osobowe w postaci imienia i nazwiska, których administratorem był X, oraz ofertę ubezpieczenia zawierającą dane osobowe w postaci: imię, nazwisko, nr PESEL, miejscowość, kod pocztowy, informację o przedmiocie ubezpieczenia (dom), informację o produkcie ubezpieczeniowym […], sumę ubezpieczenia/sumę gwarancyjną w kwocie 300 000 zł i 200 000 zł stosownie do wariantu oraz wysokość składki (162 zł i 49 zł odpowiednio do wybranych wariantów), których administratorem danych jest Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.
W zgłoszeniu naruszenia ochrony danych osobowych X poinformował, że choć jest administratorem jedynie w zakresie imienia i nazwiska, to ze względu na pozostałe dane, które również zostały ujawnione, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO. W wyniku pomyłki pracownik X do wiadomości e-mail wpisał błędny adres, wobec czego korespondencja została przekazana do osoby trzeciej. Ponadto „osoba trzecia potwierdziła usunięcie błędnie otrzymanych dokumentów niezwłocznie po zorientowaniu się, iż były przeznaczone dla kogoś innego. X otrzymał złożone przez osobę trzecią pisemne oświadczenie potwierdzające powyższe”. Naruszenie dotyczyło obecnego klienta X poszukującego ubezpieczenia mieszkania. Z przesłanego zgłoszenia naruszenia ochrony danych osobowych wynikało również, że oprócz dokumentów zawierających dane osobowe, których administratorem danych był X, do przesłanej wiadomości dołączono inne - zawierające dane osobowe - dokumenty w postaci ofert i kalkulacji Towarzystw Ubezpieczeniowych. Ponadto zawarta była informacja, że stosownie do roli, w jakiej X występuje w relacjach z Towarzystwami Ubezpieczeniowymi, tj. jako podmiot przetwarzający dane w imieniu tych towarzystw, zawiadomił je o naruszeniu. W oparciu o powyższe informacje, Prezes UODO zwrócił się do X pismem z […] listopada 2020 r. o udzielenie pisemnych wyjaśnień i wskazanie podmiotów uczestniczących w przetwarzaniu danych, których naruszenie dotyczy oraz dowodów potwierdzających, że podmioty te zostały zawiadomione o naruszeniu. W odpowiedzi X pismem z […] listopada 2020 r. poinformował, że podmiotami uczestniczącymi w przetwarzaniu danych, których dotyczyło zgłoszenie, były: Y S.A., Z S.A. oraz Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.[…]. Przeprowadzona przez Prezesa UODO, w oparciu o powyższą informację, weryfikacja wykazała, że w związku z naruszeniem ochrony danych osobowych, do którego doszło […] września 2020 r., polegającym na wysłaniu przez X korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy, zgłoszenia naruszenia ochrony danych osobowych na podstawie art. 33 ust. 1 i 3 rozporządzenia 2016/679, jako administratorzy danych, dokonały Y S.A oraz Z S.A. Natomiast zgłoszenie naruszenia ochrony danych osobowych nie zostało dokonane przez Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A.
W związku z powyższym pismem z […] grudnia 2020 r. Prezes UODO, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia 2016/679, zwrócił się do Spółki o wyjaśnienie, czy w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679). W piśmie Prezes UODO wskazał Spółce, w jaki sposób może dokonać zgłoszenia naruszenia oraz wezwał do złożenia wyjaśnień w terminie 7 dni od dnia otrzymania pisma. Prezes UODO w przedmiotowym piśmie przekazał także informację, że zgodnie z art. 33 ust. 1 i 3 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz że do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Spółka została również poinformowana, że Prezes UODO […] września 2020 r. otrzymał zgłoszenie naruszenia ochrony danych osobowych dokonane przez X, polegające na wysłaniu korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy. Podmiot zgłaszający poinformował, że administratorem danych osobowych, w zakresie części danych objętych naruszeniem jest Spółka, która […] września 2020 r. została również zawiadomiona przez podmiot przetwarzający, tj. X, o naruszeniu ochrony danych osobowych.
W odpowiedzi na powyższe pismo Spółka pismem z […] grudnia 2020 r. potwierdziła, że naruszenie ochrony danych osobowych, polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy, miało miejsce. Wskazała, że w dniu […] września 2020 r. pośrednik ubezpieczeniowy X Sp. z o.o., który przetwarza dane osobowe w imieniu i na rzecz Spółki - na podstawie pisemnej umowy powierzenia przetwarzania danych osobowych, która stanowi załącznik do umowy agencyjnej, poinformował Spółkę o naruszeniu. Jako dowód do ww. pisma załączone zostało zgłoszenie X Sp. z o.o., które zostało dokonane Spółce. Z przesłanego zgłoszenia wynika, że do naruszenia ochrony danych osobowych polegającego na wysyłce korespondencji zawierającej dane osobowe do niewłaściwego odbiorcy doszło […] września 2020 r., naruszenie zostało stwierdzone […] września 2020 r., również tego dnia Spółka została poinformowana o naruszeniu przez podmiot przetwarzający. Do naruszenia doszło w wyniku wpisania błędnego adresu e-mail, przez co dokument zawierający dane osobowe o nazwie […] został wysłany do niewłaściwego odbiorcy. Dalej w piśmie Spółka wyjaśniła, że w ww. dokumencie znajdowały się dane osobowe klienta Spółki, takie jak: imię, nazwisko, nr PESEL, miejscowość, kod pocztowy. Do pisma jako dowód została załączona oferta ubezpieczenia […], która poza ww. danymi osobowymi zawierała również informację o okresie ubezpieczenia, przedmiocie ubezpieczenia (dom), informację o produkcie ubezpieczeniowym […], sumę ubezpieczenia/sumę gwarancyjną w kwocie stosownej do wybranego wariantu oraz wysokość składki odpowiednio za wybrane warianty. Wraz z dokumentem […] została załączona klauzula informacyjna, w której Spółka informuje m.in., że jest administratorem danych osobowych.
Ponadto Spółka wskazała, że w dniu […] września 2020 r. zwróciła się do podmiotu przetwarzającego X Sp. z o.o. o przedstawienie dowodu/potwierdzenia usunięcia omyłkowo przesłanej korespondencji/danych osobowych przez osobę nieuprawnioną. W odpowiedzi z […] września 2020 r. podmiot przetwarzający (X) przesłał wskazane oświadczenie. Wobec powyższego Spółka do pisma z […] grudnia 2020 r., stanowiącego odpowiedź na wezwanie organu nadzorczego, załączyła oświadczenie niewłaściwego odbiorcy. Z oświadczenia tego wynika, że niewłaściwy odbiorca wykasował wiadomości, które zostały mu wysłane przez X, i nie jest w ich posiadaniu, oraz oświadczył, że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Oświadczenie zostało złożone na gotowym formularzu, w którym oświadczający wpisał następujące dane: swoje imię i nazwisko, dzień oraz godzinę, w których otrzymał wiadomość, miejscowość oraz datę złożenia oświadczenia. Oświadczenie zostało opatrzone własnoręcznym podpisem. W dolnym prawym rogu formularza oświadczenia znajduje się adnotacja „X”, natomiast data złożenia oświadczenia posiada widoczne ślady poprawiania.
Spółka wskazała, że […] września 2020 r. dokonana została ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na podstawie tej oceny Spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której danych osobowych naruszenie dotyczy. Oceny dokonano posługując się formularzem oceny naruszenia ochrony danych osobowych, który to wypełniony formularz wraz z metodyką oceny został przesłany jako dowód wraz z wyjaśnieniami. Ponadto Spółka wyjaśniła, że oceniła ryzyko biorąc pod uwagę kategorie danych, których dotyczy naruszenie, pod kątem rodzaju i stopnia ich wrażliwości, specyficznych czynników naruszenia zwiększających lub zmniejszających poziom ryzyka dla podmiotu danych, łatwość identyfikacji osoby, okoliczność naruszenia w odniesieniu do rodzaju naruszenia. Jak wynika z przesłanego „Formularza oceny naruszenia ochrony danych osobowych”, Spółka dokonując oceny powagi potencjalnych skutków naruszenia w pkt 2.1. „Kryterium dane osobowe” oceniając rodzaj i stopień wrażliwości danych osobowych wskazała, iż dane objęte naruszeniem należą do kategorii „dane podstawowe” oraz „dane dotyczące zachowań osoby lub PESEL/nr dokumentu tożsamości” przyznając wynik 2 pkt, natomiast nie należą do kategorii „dane finansowe” oraz „dane szczególnie chronione lub dotyczące wyroków skazujących i czynów zabronionych”, dla których zgodnie z przyjętą metodyką należy przyjąć odpowiednio wynik 3 pkt i 4 pkt. Przy czym w dodatkowych wyjaśnieniach co do wskazanych w tabeli kategorii danych, dla danych finansowych wskazano jako przykład m.in. majątek, historia transakcji/płatności, faktury.
W punkcie 2.2. „Kryterium czynniki specyficzne”, w którym zgodnie z przyjętą metodyką należy wskazać specyficzne czynniki naruszenia zwiększające lub zmniejszające poziom ryzyka dla podmiotów danych, takie jak: większe ilości danych dotyczących tej samej osoby (z wynikiem +1); specyficzne cechy administratora danych (z wynikiem +1 pkt); specyficzne cechy jednostki (z wynikiem +1 pkt); charakter danych (z wynikiem +1 albo -1); wysoka waga negatywnych skutków naruszenia dla osób fizycznych (z wynikiem +1); publiczna dostępność danych (z wynikiem - 1 pkt); nieprawidłowość danych (z wynikiem -1 pkt) oraz inne czynniki (z wynikiem + 1 pkt albo -1 pkt), Spółka wskazała na brak czynników zmniejszających lub zwiększających ryzyko, nie przyznając, ani nie odejmując w tym kryterium punktów.
W punkcie 2.3. „Kryterium możliwości identyfikacji”, Spółka określiła łatwość identyfikacji osób, jako ograniczoną możliwość identyfikacji przyznając w tym kryterium 0,5 pkt, w skali: incydent nie stanowi naruszenia prywatności (z wynikiem 0 pkt), znikoma możliwość identyfikacji (z wynikiem 0,25 pkt), ograniczona możliwość identyfikacji (z wynikiem 0,5 pkt), wysokie prawdopodobieństwo identyfikacji (z wynikiem 0,75 pkt), maksymalne prawdopodobieństwo identyfikacji (z wynikiem 1 pkt), przy czym w dodatkowych wyjaśnieniach dotyczących poziomów ryzyka identyfikacji dla „wysokiego prawdopodobieństwa identyfikacji” jako przykład zostało wskazane „numer identyfikacyjny PESEL w połączeniu z innymi danymi, np. imieniem i nazwiskiem, adresem e-mail, lub adresem zamieszkania”, a dla „maksymalnego prawdopodobieństwa identyfikacji” jako przykład wskazano m.in. numer identyfikacyjny lub numer dowodu tożsamości, jeżeli dane ze źródłowej bazy danych są także dostępne (np. imię i nazwisko, data urodzenia, zdjęcia itd.).
W punkcie 2.4. „Kryterium okoliczności naruszenia”, Spółka jako okoliczności naruszenia w odniesieniu do rodzaju naruszenia wskazała na naruszenie poufności z ograniczoną liczbą znanych podmiotów, którym ujawniono dane, przyznając wynik 0,25 pkt w skali: niskie prawdopodobieństwo z wynikiem 0 pkt, ograniczona liczba znanych podmiotów, którym ujawniono dane, z wynikiem 0,25 pkt, nieznana liczba podmiotów, którym ujawniono dane, z wynikiem 0,5 pkt.
W pkt 2.5. „Inne kryteria” w formularzu zostały wskazane kryteria: celowe naruszenie (z wynikiem +1 pkt), niegodny zaufania odbiorca (z wynikiem +1), duża liczba osób, których dotyczy incydent (z wynikiem +1 pkt), zaufany odbiorca (z wynikiem -1 pkt), dane niedostępne z powodu szyfrowania (z wynikiem -1 pkt), bardzo mała liczba osób, których dotyczy incydent (z wynikiem -1 pkt), inne istotne czynniki naruszenia (z wynikiem +1 pkt albo -1 pkt). Jako inne kryteria dotyczące naruszenia, Spółka wybrała czynnik: bardzo małą liczbę osób, których dotyczy incydent, odejmując 1 pkt. W wyjaśnieniach dla powyższego kryterium, brakuje wyjaśnienia dla czynnika „Inne istotne czynniki naruszenia”.
W oparciu o powyższe kryteria Spółka oceniła powagę skutków naruszenia na 0,25 pkt, co w przyjętej metodyce stanowi o niskim ryzyku w skali: brak lub niskie (jeśli wynik jest mniejszy lub równy 2), średnie (jeśli wynik jest mniejszy lub równy 3), wysokie (jeśli wynik jest mniejszy lub równy 4), bardzo wysokie (jeśli wynik jest większy niż 4), gdzie osoba, której dane dotyczą nie zostanie dotknięta naruszeniem lub może napotkać pewne niedogodności, które są łatwe do przezwyciężenia - czas spędzony na ponownym wejściu w informację, rozdrażnienie, irytacja itp. oraz dodatkowo wskazano na stres, dyskomfort, czas spędzony na wyjaśnieniu sprawy i brak innych skutków naruszenia z uwagi na złożenie oświadczenia o usunięciu danych oraz niezapoznaniu się z danymi. Przy czym dla wyniku „wysoka” ocena potencjalnych skutków, zawarty jest następujący opis: „osoby fizyczne mogą zmierzyć się ze znaczącymi negatywnymi skutkami, którym powinny być w stanie zaradzić, ale z poważnymi trudnościami (sprzeniewierzenie majątku/pieniędzy, trafienie na czarną listę instytucji finansowych, szkody majątkowe, utrata pracy, wezwanie do sądu, pogorszenie stanu zdrowia), a dla wyniku „bardzo wysoka” ocena potencjalnych skutków, w tabeli formularza oceny, zawarty jest opis: „osoby fizyczne mogą zmierzyć się z bardzo poważnymi skutkami lub ze skutkami, którymi nie można zaradzić (np. trudności finansowe, takie jak znaczne zadłużenie lub niezdolność do pracy, długoterminowa dolegliwość psychiczna lub fizyczna, śmierć itp.)”.
Ocena stopnia prawdopodobieństwa wystąpienia skutków naruszenia została wskazana jako stopień pomijany w skali: pomijane, ograniczone, poważne, maksymalne. Natomiast z opisu dla tego stopnia wynika, iż nie wydaje się możliwe, aby zagrożenia (skutki) się zmaterializowały. Dla pozostałych stopni prawdopodobieństwa opis został wskazany następująco: ograniczone – wydaje się trudne, aby zagrożenia (skutki) się zmaterializowały, poważne – wydaje się możliwe, aby zagrożenia skutki się zmaterializowały, maksymalne – wydaje się oczywiste, że zagrożenia (skutki) się zmaterializują.
Na ocenę skutków naruszenia, zdaniem Spółki, miało również wpływ to, że osoba nieuprawniona złożyła pisemne oświadczenie o niezapoznaniu się z treścią załącznika do e-maila, w którym były dane, i o trwałym jego usunięciu. Z uwagi na to uznano, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Dodatkowo w przesłanym „formularzu oceny naruszenia ochrony danych osobowych”,w ramach pkt 2.6. „Ocena powagi potencjalnych skutków naruszenia”, został wskazany wzór dla kalkulacji powagi skutków naruszenia […], wyliczenie dokonane przez administratora dla przedmiotowego naruszenia: […] oraz (w „Wyjaśnieniach”) następujące przykłady skutków naruszenia: utrata kontroli nad własnymi danymi osobowymi; ograniczenie możliwości realizowania praw z art. 15-22 RODO; ograniczenie możliwości realizowania praw; dyskryminacja; kradzież lub sfałszowanie tożsamości; strata finansowa; naruszenie dobrego imienia; utrata poufności danych osobowych chronionych tajemnicą zawodową; stres, dyskomfort; otrzymanie niezamówionej korespondencji; zagrożenie dla zdrowia; zagrożenie dla życia; konieczność ponownego zebrania danych; ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); założenie na cudze dane konta internetowego (np. w serwisach społecznościowych); podszycie się pod inną osobę lub instytucję w celu wyłudzenia od osoby dotkniętej naruszeniem dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej); wykorzystanie danych osoby dotkniętej naruszeniem do zarejestrowania karty telefonicznej typu prepaid, które może posłużyć do celów przestępczych; osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości; osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL; dane osobowe mogą zostać wykorzystane przez osobę trzecią do próby wyłudzenia ubezpieczenia; osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych, np. najmu nieruchomości; dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu.
Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dotyczyło naruszenie, w dniu […] stycznia 2021 r. Prezes UODO wszczął wobec Spółki postępowanie administracyjne.
W odpowiedzi na zawiadomienie o wszczęciu postępowania administracyjnego w przedmiotowej sprawie, pismem z […] lutego 2021 r. Spółka przesłała dodatkowe wyjaśnienia, w których wskazała m.in. że:
- Zwróciła się do X Sp. z o.o. o poproszenie niewłaściwego odbiorcy o złożenie dodatkowego oświadczenia. […] stycznia 2021 r. niewłaściwy odbiorca złożył oświadczenie, w którym poinformował, że trwale wykasował i nie jest w posiadaniu wiadomości, która została mu przesłana przez X Sp. z o.o. oraz nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznał się z ich treścią przed usunięciem ww. wiadomości oraz nie ma możliwości zidentyfikowania osoby, której dane znajdowały się w załączonych dokumentach. Ponadto oświadczył, że ponownie zweryfikował nośniki i nie posiada żadnych kopii błędnie doręczonych mu dokumentów oraz jest świadomy konsekwencji przetwarzania danych osobowych bez podstawy prawnej.
- W jej ocenie nie miała obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO ani obowiązku zawiadomienia o naruszeniu osoby dotkniętej naruszeniem, a tym samym nie dopuściła się naruszenia przepisów art. 33 ust. 1 i art. 34 ust. 1 – 2 rozporządzenia 2016/679, wskazując, że prawidłowo oceniła ryzyko spowodowane naruszeniem ochrony danych osobowych oraz nieuprawniony odbiorca danych złożył ponowne oświadczenie o tym, że nie zapoznawał się z danymi osobowymi osoby trzeciej, które zostały mu przypadkowo wysłane oraz, że je usunął.
- Dokonując oceny ryzyka powodowanego naruszeniami ochrony danych, Spółka wdrożyła metodykę oceny naruszenia opracowaną na podstawie metodyki ENISA (Agencja Unii Europejskiej ds. Cyberbezpieczeństwa).
- Zgodnie z umową powierzenia przetwarzania zawartą między Spółką a X Sp. z o.o., pracownicy podmiotu przetwarzającego są zobowiązani do szyfrowania dokumentów zawierających dane osobowe przed ich wysłaniem drogą mailową; przedmiotowe naruszenie miało charakter jednostkowy i wynikało z błędu ludzkiego; osoba, która wysłała wiadomość do niewłaściwego odbiorcy z niezaszyfrowanymi załącznikami zawierającymi dane osobowe została ponownie pouczona o konieczności szyfrowania dokumentów wysyłanych jako załączniki do wiadomości e-mail; Spółka uzyskała od X oświadczenie pracownika, że jest mu znany obowiązek szyfrowania wszystkich dokumentów, które zawierają dane osobowe i są przekazywane do klientów lub potencjalnych klientów; zwróciła się do X o przedstawienie wewnętrznych polityk dotyczących zabezpieczania danych osobowych w korespondencji oraz poinformowała, że przeprowadza inwentaryzację dotyczącą stosowania środków ochrony kryptograficznej w przypadku przekazywania danych osobowych drogą elektroniczną oraz analizuje procedury obsługowe. Ponadto Spółka wskazała, że regularnie przypomina swoim pracownikom oraz agentom o obowiązku informowania inspektora ochrony danych Spółki o naruszeniu ochrony danych oraz o obowiązkach zabezpieczania danych osobowych wysyłanych w korespondencji mailowej.
- Spółka nie ma prawnej ani faktycznej możliwości zawiadomienia osoby, której danych osobowych naruszenie dotyczy, ponieważ Spółka nie dysponuje aktualnymi danymi kontaktowymi tej osoby. Spółka z osobą, której danych osobowych naruszenie dotyczy, zawarła w 2000 r. umowę, jednak miejscowość zamieszkania tej osoby wskazana w polisie w 2000 r. to O. Natomiast w kalkulacji z 2020 r. została podana miejscowość K. Mając na uwadze powyższe Spółka przyjęła, że adres z polisy z 2000 r. nie jest już aktualny i niedopuszczalne jest kierowanie korespondencji na ten adres. Ponadto, Spółka nie ma żadnej możliwości pozyskania danych kontaktowych osoby dotkniętej naruszeniem. Dodatkowo zwróciła uwagę, że ewentualne pozyskanie tych danych przez Spółkę budziłoby wątpliwości z punktu widzenia zgodności z zasadą minimalizacji danych, określoną w art. 5 ust. 1 lit. c) rozporządzenia 2016/679. Dane kontaktowe nie są bowiem Spółce w żadnym celu potrzebne. Spółka nie może próbować pozyskać danych adresowych osoby dotkniętej naruszeniem tylko po to, aby zawiadomić ją o naruszeniu. W ocenie Spółki byłoby to niezgodne z zasadą minimalizacji danych. Natomiast decyzja Prezesa UODO nakazująca Spółce zawiadomienie osoby, której dane dotyczą byłaby niewykonalna w dniu jej wydania i jej niewykonalność miałaby charakter trwały, co stanowiłoby przesłankę nieważności decyzji.
- Wraz z wyjaśnieniami Spółka jako dowód załączyła kopię umowy powierzenia przetwarzania danych osobowych, na podstawie której Spółka jako administrator danych powierzyła przetwarzanie danych osobowych agentowi – tj. X Sp. z o.o. Jak wynika z § 7 pkt 3 załączonej kopii umowy, agent zobowiązuje się m.in. „pomagać ERGO Hestii w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO; w szczególności Agent zobowiązuje się przekazywać ERGO Hestii informacje oraz wykonywać polecenia dotyczące stosowanych środków zabezpieczenia powierzonych danych osobowych, przypadków naruszenia ochrony danych osobowych oraz zawiadamiania o tym organu nadzorczego lub osób, których dane dotyczą, przeprowadzania oceny skutków dla ochrony danych oraz przeprowadzania uprzednich konsultacji z organem nadzorczym i wdrażania zaleceń organu”.
- Spółka przeprowadziła ponowną analizę ryzyka spowodowanego naruszeniem, z wykorzystaniem formularza udostępnionego na stronie […] opublikowanego przez O Sp. z o.o. Na podstawie przeprowadzonej analizy Spółka ustaliła, że nie ma konieczności zgłoszenia naruszenia organowi ani zawiadomienia osoby dotkniętej naruszeniem, załączając jako dowód zrzuty ekranu przedstawiające wynik oceny ryzyka naruszenia przeprowadzonej za pomocą formularza na stronie […].
- Aby stwierdzić naruszenie przez Spółkę przepisów dotyczących obowiązków zgłoszenia naruszeń ochrony danych organowi nadzorczemu oraz zawiadomienia o naruszeniu osób, których dane dotyczą, konieczne byłoby stwierdzenie, że Spółka dokonała nieprawidłowej oceny ryzyka spowodowanego przedmiotowym naruszeniem. Jako, że Spółka stosuje metodykę oceny ryzyka naruszenia, to dla uzasadnienia uchybienia ww. obowiązkom należałoby wskazać błąd w samej metodyce albo błąd w jej zastosowaniu w odniesieniu do przedmiotowego naruszenia ochrony danych (np. niewzięcie pod uwagę pewnych kryteriów, niedostateczną ocenę punktową niektórych czynników). Jednakże w niniejszym przypadku organ w żadnym piśmie nie podważył ani samej metodyki, ani jej zastosowania do przedmiotowego naruszenia. Organ nie wyjaśnił zatem, na czym jego zdaniem polega błąd Spółki w ocenie ryzyka spowodowanego przedmiotowym naruszeniem.
- Zawarła dodatkowe wyjaśnienia dotyczące kryteriów wziętych pod uwagę przy ocenie ryzyka spowodowanego naruszeniem dla praw i wolności osób, których dane dotyczą, w tym, że zakres ujawnionych danych był bardzo wąski; ujawnione dane nie są objęte tajemnicą ubezpieczeniową; nie zachodzą żadne specyficzne czynniki naruszenia zwiększające lub zmniejszające powagę naruszenia; możliwe skutki przedmiotowego naruszenia to ewentualnie stres, dyskomfort, czas spędzony na wyjaśnieniu sprawy – w ocenie Spółki naruszenie ochrony danych nie spowodowałoby skutków takich jak kradzież tożsamości, dyskryminacja, straty finansowe, a wystąpienie negatywnych ciężkich skutków naruszenia jest teoretycznie możliwe, ale w praktyce jest bardzo mało prawdopodobne. Natomiast możliwość identyfikacji osoby fizycznej na podstawie danych, których dotyczy naruszenie lub w połączeniu z innymi danymi, które są np. publicznie dostępne lub które można łatwo uzyskać, jest ograniczona. Kod pocztowy i miejscowość nie stanowi pełnego adresu, co powoduje organiczną możliwość zidentyfikowania osoby. Wskazała również, że gdyby przyjąć nawet maksymalne prawdopodobieństwo identyfikacji, to ocena powagi naruszenia i tak dałaby wynik „niska” z uwagi na pozostałe czynniki wzięte pod uwagę. Spółka oceniła wagę potencjalnego naruszenia negatywnego wpływu naruszenia na osobę, której dane dotyczą, jako niską. Natomiast prawdopodobieństwo jego wystąpienia uznała za pomijane – mając na uwadze, że przypadkowy nieuprawniony odbiorca złożył pisemne oświadczenie w tym zakresie. Spółka uwzględniła kryterium czasu, w jakim mogłyby utrzymywać się skutki naruszenia wobec danej osoby wskazując, że od daty wystąpienia naruszenia (przesłania nieuprawnionemu odbiorcy wiadomości zawierającej dane osobowe) do usunięcia danych przez nieuprawnionego odbiorcę upłynął okres 5 dni.
- Spółka podjęła działania w celu poszukiwania informacji służących identyfikacji osoby dotkniętej naruszeniem. Dane te nie są publicznie dostępne w Internecie, a w Monitorze Sądowym i Gospodarczym, czy Krajowym Rejestrze Sądowym brak osoby o wskazanym numerze PESEL.
- Spółka odniosła się do przykładu naruszenia przedstawionego w wytycznych Europejskiej Rady Ochrony Danych 01/2021 (Wytyczne Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów zgłoszeń naruszeń ochrony danych, wersja 1.0), gdzie w przykładzie nr 15 dotyczącym przypadkowego wysłania danych osobowych do 15 nieuprawnionych odbiorców, po wysłaniu danych nadawca (administrator) natychmiast skontaktował się z nieuprawnionymi odbiorcami i zwrócił się o usunięcie danych. W opinii Spółki z wytycznych wynika, że taki krok może być uznany za środek zmniejszający ryzyko. Ponadto, jak wyjaśniła Spółka, w Wytycznych wskazano, że w sytuacji wysłania danych do nieuprawnionego odbiorcy zaleca się wysłanie do takiego odbiorcy wiadomości zawierającej między innymi pouczenie o konieczności usunięcia wiadomości zawierającej dane osobowe osób trzecich oraz o tym, że odbiorca nie ma prawa wykorzystywać danych.
- Spółka odniosła się do publikacji UODO pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, podnosząc, że organ nadzorczy wskazał, że „sytuacja w której […] korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą”. Dalej Spółka wskazała, że w jej ocenie „stwierdzenie to nie wyklucza jednak sytuacji, że w pewnych okolicznościach ocena ryzyka może być inna (organ posługuje się zwrotem „co do zasady)”. Zdaniem Spółki „taka odmienna ocena ryzyka powinna być zastosowana w odniesieniu do przedmiotowego naruszenia ochrony danych”.
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:
Zgodnie z art. 4 pkt 12 rozporządzenia 2016/679 „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji możliwości wystąpienia wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:
1) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
2) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c) i d) rozporządzenia 2016/679, tj.:
a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
b) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do realnej poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeśli takie ryzyko wystąpiło - to czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osób, których dane dotyczą - zażądać od niego takiego zawiadomienia. Zgłoszenia naruszenia ochrony danych osobowych pozwalają organowi nadzorczemu na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym, które z jednej strony pozwolą na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej ocenę modyfikacji i usprawnień służących zapobieżeniu nieprawidłowościom analogicznym do objętych naruszeniem. Natomiast zawiadomienie osób fizycznych o naruszeniu zapewnia możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie osoby te mogą podjąć, aby uchronić się przed potencjalnymi skutkami naruszenia. Obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia takiego ryzyka. Tym samym umożliwia osobie fizycznej dokonanie samodzielnej oceny naruszenia w kontekście możliwości materializacji negatywnych konsekwencji dla takiej osoby i podjęcia decyzji o zastosowaniu lub braku zastosowania działań zaradczych. Natomiast sama ocena naruszenia przeprowadzona przez administratora pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), powinna być dokonana przez pryzmat osoby dotkniętej naruszeniem.
Ustosunkowując się do wyjaśnień Spółki w pierwszej kolejności wskazać należy, że w związku z przedmiotowym naruszeniem ochrony danych osobowych, polegającym na nieuprawnionym dostępie do danych i nieuprawnionym ujawnieniu danych w wyniku przesłania korespondencji zawierającej dane osobowe niewłaściwemu odbiorcy, doszło do ujawnienia nie tylko danych wskazanych przez Spółkę w pismach z […] grudnia 2020 r. i […] lutego 2021 r., tj. numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą, ale również, jak wynika z załączonej do pisma z […] grudnia 2020 r. oferty ubezpieczenia „Kalkulacja ERGO […]”, zawierającej wyliczenie składki ubezpieczeniowej, danych dotyczących sytuacji finansowej/majątkowej podmiotu danych w postaci: okresu ubezpieczenia, przedmiotu ubezpieczenia (dom), produktu ubezpieczeniowego […], sumie ubezpieczenia/sumie gwarancyjnej w kwocie stosownej do wybranego wariantu oraz wysokości składki odpowiedniej do wybranego wariantu ubezpieczenia, które nie zostały uwzględnione w przeprowadzonej przez Spółkę kalkulacji ryzyka. Dodatkowo, wobec ujawnienia numeru ewidencyjnego PESEL, do danych objętych naruszeniem należy zaliczyć datę urodzenia, bowiem jedenastocyfrowy numer ewidencyjny PESEL zawiera taką informację. Nie bez znaczenia pozostaje również możliwość łatwego ustalenia ulicy zamieszkania osoby, której dane dotyczą, w oparciu o ujawniony kod pocztowy oraz nazwę miejscowości.
Podkreślić należy, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na przesłaniu dokumentu z wyliczeniem składki ubezpieczeniowej do nieuprawnionego odbiorcy, w szczególności danych dotyczących numeru PESEL wraz z imieniem i nazwiskiem, miejscowością i kodem pocztowym osoby, której dane dotyczą oraz informacjami o proponowanym okresie ubezpieczenia, przedmiocie ubezpieczenia (dom), produkcie ubezpieczeniowym […], sumie ubezpieczenia/sumie gwarancyjnej w kwocie stosownej do wybranego wariantu oraz wysokości składki odpowiedniej do wybranego wariantu ubezpieczenia, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 (tj. Grupa Robocza ds. Ochrony Osób Fizycznych w zakresie Przetwarzania Danych Osobowych, powołana na mocy art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r., zastąpiona zgodnie z art. 68 rozporządzenia 2016/679 Europejską Radą Ochrony Danych Osobowych, która podczas pierwszego posiedzenia plenarnego EROD zatwierdziła m.in. niżej przywołane wytyczne) w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi”: „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód, z uwagi na zakres danych objęty niniejszym naruszeniem ochrony danych osobowych, w tym nr PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym / majątkowym, mogą wystąpić w omawianym przypadku.
W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw lub wolności osoby objętej przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia tej osoby o naruszeniu, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.
Wskazać należy, że ujawnienie przedmiotowych danych osobowych, w związku z naruszeniem, do którego doszło […] września 2020 r., a w szczególności takich danych, jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym / majątkowym może zostać wykorzystane lub powodować np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.); osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości; osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia osoby dotkniętej naruszeniem, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL; osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych. Podkreślić należy, że katalog konsekwencji naruszenia ochrony danych osobowych, do którego doszło w wyniku przedmiotowego naruszenia dla osoby, której dane dotyczą, jest znacznie szerszy, natomiast wyżej wskazane przykłady dla lepszego zobrazowania istniejących konsekwencji zostały zaczerpnięte z „formularza oceny skutków”, opracowanego i przesłanego przez Spółkę wraz z wyjaśnieniami pismem z […] grudnia 2020 r. Również sama Spółka w wyjaśnieniach z […] lutego 2021 r. nie wykluczyła możliwości materializacji doniosłych negatywnych konsekwencji naruszenia dla osoby, której dane dotyczą.
Bez znaczenia pozostaje fakt, że naruszenie nie dotyczyło adresu zamieszkania osoby, której dane dotyczą, bowiem dla zmaterializowania się powyższych konsekwencji taki adres nie jest potrzebny. Podkreślić należy, że adres zamieszkania jest określany przez osobę, której dane dotyczą, jako miejsce, w którym znajduje się jej centrum życia, stanowi zatem zmienną określaną przez osobę fizyczną, której dane dotyczą. Tym samym nie powinien i nie stanowi elementu, na podstawie którego można dokonać prawidłowej weryfikacji osoby, której dane dotyczą, np. podczas zawierania umowy lub korzystania z przysługujących świadczeń. Taki adres może zostać dowolnie wskazany przez osobę, która zamierza wykorzystać ujawnione dane w złych intencjach. Brak dokładnego adresu korespondencyjnego, czy adresu zamieszkania może jedynie zniweczyć przesyłanie niechcianej korespondencji. Może również utrudnić próbę przechwycenia korespondencji celem uwierzytelnienia wyłudzającego tożsamość, jednak nie eliminuje tego ryzyka oraz innych ryzyk, których waga jest znaczna dla osoby, której dane dotyczą. Natomiast istotne znaczenie miało ujawnienie numeru ewidencyjnego PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym / majątkowym, co wbrew stanowisku Spółki zaprezentowanemu w piśmie z […] lutego 2021 r., stanowi nie tylko o możliwości łatwej identyfikacji osoby, której dane dotyczą, ale przede wszystkim o jednoznacznej identyfikacji takiej osoby. O powyższym przesądza istota numeru identyfikacyjnego Powszechnego Elektronicznego Systemu Ewidencji Ludności. Stosownie bowiem do art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2021 r. poz. 510), numer ten jednoznacznie identyfikuje osobę fizyczną.
W wyjaśnieniach zawartych w pismach z […] grudnia 2020 r. oraz […] lutego 2021 r. Spółka wskazała, że została dokonana ocena pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Na jej podstawie Spółka uznała, iż nie doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osoby, której danych osobowych naruszenie dotyczy. Oceny dokonano posługując się formularzem oceny naruszenia ochrony danych osobowych, który to wypełniony formularz wraz z metodyką oceny został przesłany jako dowód wraz z wyjaśnieniami. Dodatkowo Spółka w piśmie z […] lutego 2021 r. wskazała, że „aby stwierdzić naruszenie przez Spółkę przepisów dotyczących obowiązków zgłoszenia naruszeń ochrony danych organowi nadzorczemu (tj. art. 33 ust. 1 RODO) oraz zawiadomienia o naruszeniu osób, których dane dotyczą (art. 34 ust. 1-2 RODO), konieczne byłoby stwierdzenie, że Spółka dokonała nieprawidłowej oceny ryzyka spowodowanego przedmiotowym naruszeniem. Jako, że Spółka stosuje metodykę oceny ryzyka naruszenia to dla uzasadnienia uchybienia obowiązkom z art. 33 ust. 1 i art. 34 ust. 1-2 RODO (w skutek błędnej oceny ryzyka) należałoby wskazać błąd w samej metodyce albo błąd w jej zastosowaniu w odniesieniu do przedmiotowego naruszenia ochrony danych (np. niewzięcie pod uwagę pewnych kryteriów niedostateczną ocenę punktową niektórych czynników).
Mając na uwadze powyższe Prezes UODO wskazuje, że Spółka powinna dokonać analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędnej do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie, w sposób, który nie jest nastawiony na osiągnięcie wcześniej przyjętego wyniku. Wykorzystanie formularza z przyjętą metodyką oceny stanowi narzędzie służące pomocą w przeprowadzeniu takiej oceny i jako wdrożony środek techniczny i organizacyjny, powinien umożliwiać szybką reakcję na naruszenie. Jednocześnie podnieść należy, że analiza ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679), przeprowadzona przez Spółkę w dniu […] września 2020 r., której wypełniony formularz został załączony do pisma Spółki z […] grudnia 2020 r., nie została dokonana w sposób prawidłowy. Jak wynika z przesłanego wraz z pismem z […] grudnia 2020 r. formularza oceny naruszenia ochrony danych osobowych, Spółka, dokonując oceny powagi potencjalnych skutków naruszenia w pkt 2.1. „Kryterium dane osobowe”, przy ocenie rodzaju i stopnia wrażliwości danych osobowych wskazała, iż dane objęte naruszeniem należą do kategorii „dane podstawowe” oraz „dane dotyczące zachowań osoby lub PESEL/nr dokumentu tożsamości” przyznając wynik 2 pkt, natomiast nie należą do kategorii „dane finansowe” oraz „dane szczególnie chronione lub dotyczące wyroków skazujących i czynów zabronionych”, dla których zgodnie z przyjętą metodyką należy przyjąć odpowiednio wyniki 3 i 4 pkt. Przy czym w dodatkowych wyjaśnieniach, co do wskazanych w tabeli kategorii danych, dla danych dotyczących „zachowań osoby lub PESEL/nr dokumentu tożsamości” wskazano jako przykłady: dane dotyczące lokalizacji (GPS), preferencje i nawyki, przeszukiwane zasoby internetowe, identyfikatory sieciowe (cookies itp.), nagrane rozmowy/obraz, nr PESEL, numer dokumentu tożsamości, a dla „danych finansowych” wskazano jako przykłady m.in. majątek, historia transakcji/płatności, faktury. Wątpliwości budzi w szczególności zaszeregowanie uwzględniające rodzaj i stopień wrażliwości danych osobowych numeru PESEL do kategorii zatytułowanej „dane dotyczące zachowań osoby lub PESEL/numer dokumentu tożsamości” z wynikiem na poziomie 2, co w istocie sprowadziło się do nadania numerowi PESEL stopnia wrażliwości na równi ze stopniem wrażliwości dla danych takich, jak dane dotyczące lokalizacji (GPS), identyfikatory sieciowe (cookies itp.), przeszukiwane zasoby internetowe. Wskazać bowiem należy, że ujawnienie numeru PESEL wraz z imieniem i nazwiskiem ze względu na możliwe doniosłe negatywne konsekwencje dla osoby fizycznej może powodować duży stres lub dyskomfort, związany z możliwością materializacji negatywnych zagrożeń (w postaci np. straty finansowej, czy kradzieży tożsamości), zaburzając poczucie bezpieczeństwa takiej osoby, podobnie jak ujawnienie danych behawioralnych. Jednak poziom stresu lub dyskomfortu osoby fizycznej w związku z ujawnieniem numeru PESEL jest znacznie wyższy niż przy ujawnieniu takich danych jak dane dotyczące lokalizacji (GPS), identyfikatory sieciowe (cookies itp.), przeszukiwane zasoby internetowe. Dotkliwość ujawnienia danych w postaci numeru PESEL wraz z imieniem i nazwiskiem jest porównywalna, jak w przypadku ujawnienia „danych finansowych” (które również zostały ujawnione w wyniku przedmiotowego naruszenia), czy danych „szczególnie chronionych” i w zależności od zmieniającego się kontekstu, np. powstania nowych lub ograniczenia istniejących zagrożeń, powinna być przez Spółkę oceniona dla każdego przypadku indywidualnie. Zaszeregowanie numeru PESEL wraz z imieniem i nazwiskiem do kategorii danych behawioralnych, którym numer PESEL nie jest, wskazuje, że taka indywidualna ocena nie była przeprowadzona. Natomiast, jak już wyżej wskazano, ujawnienie numeru PESEL wraz z imieniem i nazwiskiem ze względu na poziom krytyczności tych danych powinno być zakwalifikowane przez Spółkę w przeprowadzonej analizie do kategorii wyższych. Dodatkowo Spółka nie uwzględniła w kategorii „Dane finansowe – dane dotyczące sytuacji finansowej osoby fizycznej” z wynikiem 3, przedmiotu proponowanego ubezpieczenia, a wiec domu z zakresem ubezpieczenia, tj. kwotą […] zł, ubezpieczenia odpowiedzialności cywilnej w życiu prywatnym z sumą gwarancyjną w kwocie […] zł oraz wysokością składki odpowiednio za wybrane warianty w kwocie […] zł i […] zł, podczas gdy dla tej kategorii formularz w wyjaśnieniach, jakie dane należy przypisać do tej kategorii, jako przykłady wskazuje „majątek” czy, „historia transakcji/płatności, faktury”. Przy czym Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) w Zaleceniach dotyczących metod oceny wagi naruszeń ochrony danych osobowych, na której rekomendacje powołuje się Spółka w swoich wyjaśnieniach, wskazuje, że chodzi o dowolny rodzaj danych finansowych. Dodatkowo należy wskazać, że rekomendacje Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) mogą służyć pomocą w przeprowadzeniu oceny, jednak z uwzględnieniem kontekstu uwarunkowań krajowych. Taki kontekst został uwzględniony przez Spółkę w sposób nieprawidłowy, poprzez pominięcie uwzględnienia doniosłych zagrożeń, jakie powoduje ujawnienie tych danych, a w szczególności nr PESEL, a następnie zaszeregowanie numeru PESEL wraz z imieniem i nazwiskiem do grupy, której wrażliwość danych nie jest adekwatna z wrażliwością danych w postaci numeru PESEL wraz z imieniem i nazwiskiem.
W punkcie 2.2. „Kryterium czynniki specyficzne”, w którym zgodnie z przyjętą metodyką należy wskazać specyficzne czynniki naruszenia zwiększające lub zmniejszające poziom ryzyka dla podmiotów danych, takie jak: większe ilości danych dotyczących tej samej osoby (z wynikiem +1); specyficzne cechy administratora danych (z wynikiem +1 pkt); specyficzne cechy jednostki (z wynikiem +1 pkt); charakter danych (z wynikiem +1 albo -1); wysoka waga negatywnych skutków naruszenia dla osób fizycznych (z wynikiem +1); publiczna dostępność danych (z wynikiem – 1 pkt); nieprawidłowość danych (z wynikiem -1 pkt) oraz inne czynniki (z wynikiem + 1 pkt albo -1 pkt), Spółka wskazała na brak czynników zmniejszających lub zwiększających ryzyko, nie przyznając, ani nie odejmując w tym kryterium punktów. Natomiast ujawnione dane osobowe zostały zgromadzone w procesie oferowania ubezpieczenia bezpośrednio poprzedzającego zawarcie umowy ubezpieczenia i z chwilą zawarcia umowy powinny być objęte tajemnicą ubezpieczeniową, o której mowa w art. 35 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2020 r. poz. 895 z późn zm.). Spółka mogła rozsądnie przewidywać, iż w związku z przygotowaną ofertą może dojść do zawarcia umowy ubezpieczenia, a zatem doszłoby do ujawnienia danych, których Spółka jest zobowiązana szczególnie chronić, co w konsekwencji powinno zostać uwzględnione w przyjętej metodyce oceny ryzyka i zakwalifikowane do „innych czynników”, a tym samym podnieść ocenę naruszenia o 1 pkt. Dodatkowo informacja, że ujawnienie przedmiotowych danych może rodzić ryzyko „utraty poufności danych osobowych chronionych tajemnica zawodową” została Spółce zakomunikowana w zgłoszeniu naruszenia z […] września 2020 r. przesłanym Spółce przez podmiot przetwarzający. Ponadto, Spółka pominęła, iż ujawnienie danych, w szczególności dotyczących numeru PESEL wraz z innymi danymi, w tym imieniem i nazwiskiem oraz informacjami o stanie finansowym / majątkowym, powoduje wysoką wagę negatywnych skutków dla osób fizycznych, co dodatkowo powinno podnieść ocenę naruszenia o 1 pkt oraz, że w związku z naruszeniem została ujawniona większa ilość danych dotyczących tej samej osoby, co również powinno podnieść ocenę naruszenia o 1 pkt - zgodnie z przyjętą przez Spółkę metodyką.
W punkcie 2.3. „Kryterium możliwości identyfikacji”, Spółka określiła łatwość identyfikacji osób, jako ograniczoną możliwość identyfikacji, przyznając w tym kryterium 0,5 pkt, w skali: incydent nie stanowi naruszenia prywatności (z wynikiem 0 pkt), znikoma możliwość identyfikacji (z wynikiem 0,25 pkt), ograniczona możliwość identyfikacji (z wynikiem 0,5 pkt), wysokie prawdopodobieństwo identyfikacji (z wynikiem 0,75 pkt), maksymalne prawdopodobieństwo identyfikacji (z wynikiem 1 pkt), przy czym w dodatkowych wyjaśnieniach dotyczących poziomów ryzyka identyfikacji dla „wysokiego prawdopodobieństwa identyfikacji” jako przykład zostało wskazane „numer identyfikacyjny PESEL w połączeniu z innymi danymi, np. imieniem i nazwiskiem, adresem, e-mail, lub adresem zamieszkania”, a dla „maksymalnego prawdopodobieństwa identyfikacji” jako przykład wskazano m.in. również numer identyfikacyjny lub numer dowodu tożsamości, jeżeli dane ze źródłowej bazy danych są także dostępne (np. imię i nazwisko, data urodzenia, zdjęcia itd.). Powyższe jednoznacznie przesądza o intencji zaszeregowania numeru PESEL w przyjętej metodyce do „maksymalnego prawdopodobieństwa identyfikacji” lub co najmniej do „wysokiego prawdopodobieństwa identyfikacji”. Mając na uwadze powyższe, wskazać należy, że określenie przez Spółkę łatwości identyfikacji w oparciu o numer identyfikacyjny PESEL wraz z imieniem i nazwiskiem, jako „ograniczoną możliwość identyfikacji” wbrew opisowi z przyjętej metodyki, stanowi oczywisty błąd. Natomiast uwzględnienie w przyjętej metodyce numeru PESEL wraz z imieniem i nazwiskiem jednocześnie w dwóch poziomach ryzyk identyfikacji potwierdza, że metodyka została opracowana w sposób zupełnie dowolny. Niezależnie od powyższego organ nadzorczy wskazuje, że naruszenie poufności danych osobowych w postaci numeru PESEL wraz z imieniem i nazwiskiem w przeprowadzonej analizie powinno zostać uwzględnione jako „maksymalne prawdopodobieństwo identyfikacji” bowiem numer identyfikacyjny PESEL w sposób jednoznaczny identyfikuję osobę fizyczną.
W pkt 2.5. „Inne kryteria” w formularzu zostały wskazane kryteria: celowe naruszenie (z wynikiem +1 pkt), niegodny zaufania odbiorca danych (z wynikiem +1), duża liczba osób, których dotyczy incydent (z wynikiem +1 pkt), zaufany odbiorca danych (z wynikiem -1 pkt), dane niedostępne z powodu szyfrowania (z wynikiem -1 pkt), bardzo mała liczba osób, których dotyczy incydent (z wynikiem -1 pkt), inne istotne czynniki naruszenia (z wynikiem +1 pkt albo -1 pkt), jako inne kryteria dotyczące naruszenia, Spółka wybrała czynnik: bardzo małą liczbę osób, których dotyczy incydent, odejmując 1 pkt.
Obniżenie wyniku analizy o 1 pkt z powodu bardzo małej liczby osób, których dotyczy incydent, budzi wątpliwości. Wskazać bowiem należy, że dla wagi naruszenia oraz prawdopodobieństwa wystąpienia negatywnych skutków naruszenia dla indywidualnej osoby, której dane dotyczą, powyższa okoliczność dotycząca ilości osób dotkniętych naruszeniem nie ma znaczenia. Spółka przyjęła, że okoliczność małej ilości osób dotkniętych naruszeniem obniżającej ocenę ryzyka zgodnie z przyjętą metodyką będzie miała zastosowanie, gdy naruszenie dotyczy mniej niż 20 osób. Przyjmując powyższą okoliczność dla oceny wagi naruszenia, może dojść do sytuacji, gdy dla dwóch podobnych naruszeń różniących się liczbą osób dotkniętych naruszeniem, przy naruszeniu z mniejszą liczbą osób np. 19, końcowy wynik ryzyka, ze względu na uwzględnienie takiej okoliczności, może wykazać brak konieczności zgłoszenia naruszenia i zawiadomienia osób, których dane dotyczą, a brak uwzględnienia tej okoliczności dla 20 osób, może stanowić o konieczności dokonania zgłoszenia i zawiadomienia tych osób, co w istocie w sposób nieusprawiedliwiony pozbawi osoby z grupy mniejszej możliwości odpowiedniej reakcji na naruszenie, a organ nadzorczy na ocenę dokonanego zgłoszenia. Uwzględniając kategorie danych dotkniętych naruszeniem, które powodują wysoką wagę negatywnych skutków dla osoby fizycznej przy ocenie ryzyka naruszenia praw lub wolności osoby fizycznej niewielka liczba osób dotkniętych naruszeniem nie powinna być brana pod uwagę, jako czynnik zmniejszający ryzyko. Dodatkowo podkreślić należy, że okoliczność obniżenia wyniku z powodu bardzo małej liczby osób dotkniętych naruszeniem, nie znajduje swojego odzwierciedlenia w wyżej wymienionych rekomendacjach Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Inaczej jest w sytuacji, gdy naruszone kategorie danych nie stanowią o możliwości wystąpienia wysokiego ryzyka, ale ze względu na dużą liczbę osób dotkniętych naruszeniem wzrasta powaga tego naruszenia, poprzez rozszerzenie możliwości wystąpienia negatywnych skutków, co może wiązać się z koniecznością dokonania zgłoszenia organowi nadzorczemu i, w przypadku wątpliwości administratora, co do konieczności dokonania zgłoszenia, faktycznie powinna zostać uwzględniona. Ubocznie wskazać należy, że taka okoliczność w przyjętej przez Spółkę metodyce została uwzględniona poprzez kryterium „duża liczba osób, których dotyczy incydent (z wynikiem +1 pkt)”. Niemniej jednak w przedmiotowej ocenie to kryterium nie miało zastosowania i nie było brane pod uwagę.
W oparciu o przeprowadzoną analizę, Spółka oceniła powagę skutków naruszenia z wynikiem 0,25 pkt, jako „brak lub niskie”, co w przyjętej metodyce klasyfikuje powagę skutków naruszenia do najniższej możliwej w wyborze skali z: brak lub niskie (jeśli wynik jest mniejszy lub równy 2), średnie (jeśli wynik jest mniejszy lub równy 3), wysokie (jeśli wynik jest mniejszy lub równy 4), bardzo wysokie (jeśli wynik jest większy niż 4), gdzie osoba, której dane dotyczą, nie zostanie dotknięta naruszeniem lub może napotkać pewne niedogodności, które są łatwe do przezwyciężenia. Również prawdopodobieństwo wystąpienia negatywnych skutków dla osoby, której dane dotyczą, zostało ocenione przez Spółkę na najniższym możliwym do wyboru stopniu, jako pomijane w skali: pomijane, ograniczone, poważne, maksymalne. Przy czym, w ocenie Spółki, na stopień prawdopodobieństwa miał również wpływ, że niewłaściwy odbiorca wiadomości złożył oświadczenie, że nie zapoznawał się z treścią dokumentów oraz że zostały one usunięte, co, jak zostało wyjaśnione w niniejszej decyzji, nie obniżyło prawdopodobieństwa w stopniu zwalniającym Spółkę z obowiązku dokonania zgłoszenia i zawiadomienia o naruszeniu osoby, której dane dotyczą. Następnie Spółka uwzględniając w przeprowadzonej analizie wadliwą ocenę powagi skutków naruszenia oraz wadliwą ocenę prawdopodobieństwa, oceniła poziom ryzyka na najniższy z możliwych do wyboru w matrycy ryzyka, wskazując, że jest mało prawdopodobne, by naruszenie skutkowało naruszeniem praw lub wolności osób fizycznych, a tym samym nie jest zobowiązana do zgłoszenia naruszenia organowi nadzorczemu ani zawiadomienia o naruszeniu osoby, której dane dotyczą.
Dodatkowo w piśmie z […] lutego 2021 r. Spółka poinformowała, że ponownie przeprowadziła analizę z wykorzystaniem formularza udostępnionego na stronie […], która w ocenie Spółki potwierdza, że nie miała konieczności zgłoszenia naruszenia organowi nadzorczemu, ani zawiadomienia osoby dotkniętej naruszeniem. Mając na uwadze powyższe wskazać należy, że wypełniony formularz oceny ryzyka naruszenia, który został załączony jako dowód do powyższego pisma, to w rzeczywistości wydruk z kalkulatora wagi naruszeń ochrony danych osobowych udostępnionego na stronie internetowej jednego z podmiotów świadczących usługi wsparcia w zakresie ochrony danych osobowych. Prezes UODO nie może ocenić poprawności działania wskazanego kalkulatora, dodatkowo wypełniony formularz nie posiada szczegółowego opisu dla przyjętych lub braku przyjęcia ocenianych kryteriów oraz wyjaśnień, w jaki sposób i dlaczego „kalkulator” dla oceny poszczególnych kryteriów wylicza wyniki cząstkowe i wynik końcowy. Ponadto analizy różnią się co do ocenianych kryteriów. Powyższe uniemożliwia zarówno dokonanie szczegółowej oceny przeprowadzonej analizy, jak również rzetelne porównanie przeprowadzonych analiz. Niemniej jednak nawet z powierzchownej oceny załączonego przez Spółkę do pisma z […] lutego 2021 r. zrzutu ekranu przedstawiającego wynik oceny ryzyka naruszenia przeprowadzonej za pomocą formularza na stronie […] wynika, że przeprowadzona analiza powieliła błędy analizy dokonanej […] września 2020 r. i załączonej do pisma z […] grudnia 2020 r., a tym samym nie potwierdza dokonania tej analizy w sposób prawidłowy. Wątpliwości dotyczą w szczególności: braku uwzględnienia, że naruszenie dotyczyło również danych o stanie finansowym / majątkowym, wskazania, że zakres danych, które uległy naruszeniu, nie był szeroki, czy określenia prawdopodobieństwa identyfikacji osoby, której dane dotyczą, jako ograniczone. Ponadto, co nie zostało przedstawione przez Spółkę wraz ze zrzutem ekranu wypełnionego formularza, podmiot udostępniający formularz na wskazanej przez Spółkę stronie internetowej wraz z możliwością „zapisania do pliku pdf”, zawarł słuszne zastrzeżenie, że „każdy przypadek naruszenia, bądź podejrzenia naruszenia ochrony danych osobowych powinien być analizowany indywidualnie, w szczególności w zakresie obowiązków określonych w art. 33 i 34 RODO, z tego względu niniejszy kalkulator może stanowić co najwyżej dodatkowe źródło pomocnicze i nie może być samodzielną podstawą podejmowania decyzji przez jakikolwiek podmiot lub osobę, które korzystają z kalkulatora na własną odpowiedzialność”.
Jak już wyżej wskazano dokonana przez Spółkę ocena została przeprowadzona nieprawidłowo. Oczywiste błędy, jak również nieprawidłowości polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą Spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom. Końcowa ocena naruszenia została rażąco zaniżona przyjmując najniższą z możliwych do wyboru wartości, co potwierdza celowe zaniżanie przyjmowanych wartości w celu uniknięcia konieczności realizacji obowiązków z art. 33 i 34 rozporządzenia 2016/679. Natomiast przeprowadzenie analizy w sposób prawidłowy, pozbawiony choćby części powyżej wskazanych wątpliwości, powinno skutkować wykazaniem powstania obowiązku zgłoszenia naruszenia ochrony danych osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz zawiadomienia o naruszeniu osoby, której dane dotyczą, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679.
Podkreślić ponownie należy, że w przedmiotowej sprawie ze względu na zakres ujawnionych danych osobowych oraz związane z tym doniosłe konsekwencje dla osoby, której dane dotyczą, wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby fizycznej związane z koniecznością realizacji obowiązków zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienia o naruszeniu osoby, której dane dotyczą. Zarówno podmiot przetwarzający będący administratorem danych w zakresie imienia i nazwiska, jak i inne towarzystwa ubezpieczeń, w związku z przedmiotowym naruszeniem, w przeciwieństwie do Spółki, nie miały wątpliwości co do konieczności dokonania zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO i takiego zgłoszenia dokonały.
Dla powyższej oceny nie ma także wpływu fakt uzyskania oświadczenia niewłaściwego odbiorcy o wykasowaniu otrzymanej korespondencji. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie przesłała dalej otrzymanej wiadomości, nie wykonała np. kopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osoby, której dane objęte zostały naruszeniem. Również Spółka nie ma możliwości faktycznej weryfikacji oświadczenia o braku zaznajomienia się z jego treścią, czy też o wykasowaniu otrzymanej korespondencji. W wytycznych Grupy Roboczej Art. 29 stwierdzono: ,,To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”. W przedmiotowej sprawie nie ma jednak podstaw, by nieuprawnionego odbiorcę uznać i traktować jako „odbiorcę zaufanego”. Powyższe potwierdziła również Spółka w piśmie z […] lutego 2021 r. wskazując, że „Spółka nie uznała przypadkowego, nieuprawnionego odbiorcy danych za zaufanego odbiorcę”. Stwierdzając powyższe Spółka nie wykazała się jednak konsekwencją, przyjmując jednocześnie, że złożone przez przypadkowego odbiorcę (niebędącego odbiorcą zaufanym) oświadczenia obniżają prawdopodobieństwo zmaterializowania się negatywnych konsekwencji naruszenia dla osoby, której dane osobowe zostały ujawnione.
Wskazać dodatkowo należy, że oświadczenie niewłaściwego odbiorcy zostało złożone na gotowym formularzu, co może wskazywać, że treść oświadczenia została opracowana przez podmiot przetwarzający. Również data, którą zostało opatrzone oświadczenie, posiada widoczne ślady poprawiania, co powinno budzić wątpliwości administratora. Ponadto trudno oczekiwać, aby osoba mająca złe intencje odmówiła złożenia stosownego oświadczenia, takie działanie mogłoby bowiem zniweczyć jej złe zamiary. Dodatkowo, jak wynika ze zgłoszenia naruszenia ochrony danych osobowych dokonanego przez X, „osoba trzecia potwierdziła usunięcie błędnie otrzymanych dokumentów niezwłocznie po zorientowaniu się, iż były przeznaczone dla kogoś innego.”. Powyższe poddaje w wątpliwość oświadczenie niewłaściwego odbiorcy o tym, że nie jest mu znana treść załączonych dokumentów, skoro jednak zorientował się, że korespondencja nie jest przeznaczona dla niego. Również, ze zgromadzonego materiału dowodowego nie wynika, aby to sam niewłaściwy odbiorca zwrócił się do podmiotu przetwarzającego lub administratora z informacją, że otrzymał wiadomość dla niego nieprzeznaczoną. Ponadto należy wskazać, że Spółka nie może mieć pewności (i w tym też zakresie nie jest możliwa weryfikacja), czy do skrzynki e-mail nie mają dostępu inne osoby, lub czy skrzynka nie została zainfekowana złośliwym oprogramowaniem, co mogło potencjalnie skutkować dostępem do tych danych innych osób niż adresat błędnie skierowanej korespondencji. W przedmiotowej sprawie Spółka dwukrotnie uzyskała oświadczenie nieuprawnionego adresata, co może świadczyć, iż posiadała istotne w tym zakresie wątpliwości. Natomiast Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że „W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.
Spółka pismem z […] lutego 2021 r. wniosła o dopuszczenie i przeprowadzenie dowodu z zeznań świadka Ł P na okoliczność tego, że dokonał on trwałego usunięcia wiadomości e-mail, która została do niego wysłana w dniu […] września 2020 r. około godziny 12 i nie jest w posiadaniu tej wiadomości, nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości, nie ma możliwości zidentyfikowania osoby, której dane znajdowały się w załączonych dokumentach oraz ponownie zweryfikował nośniki i nie posiada żadnych kopii błędnie doręczonych mu dokumentów.
Przeprowadzenie dowodu z zeznań ww. osoby w charakterze świadka na wskazane w piśmie z […] lutego 2021 r. okoliczności, a więc w istocie też na okoliczność potwierdzenia złożonych przez tą osobę oświadczeń z […] września 2020 r. i […] stycznia 2021 r. jest zbędne i nie będzie miało wpływu, w świetle wyżej przytoczonych argumentów odnoszących się do już złożonych przez ww. osobę oświadczeń, na ocenę organu nadzorczego poziomu ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, w związku z przedmiotowym naruszeniem ochrony danych osobowych. Nie spowodowałoby w konsekwencji obniżenia prawdopodobieństwa wystąpienia skutków naruszenia w stopniu zwalniającym Spółkę z obowiązku dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w terminie 72 godzin od stwierdzenia naruszenia oraz zawiadomienia o naruszeniu osoby, której dane dotyczą. Jak już wyżej wskazano, zarówno Spółka w oparciu o złożone oświadczenia, jak i Prezes UODO, w oparciu o złożone oświadczenia i ewentualne zeznania potwierdzające treść złożonych oświadczeń, nie ma faktycznej możliwości ich weryfikacji. Przeprowadzenie dowodu z zeznań ww. osoby w charakterze świadka nie wyklucza możliwości, że złożone wyjaśnienia mogą okazać się fałszywe, a tym samym nie wyklucza możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osoby fizycznej.
Podkreślić ponownie należy, że oświadczenie złożone przez nieuprawnionego adresata nie przesądza o tym, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą. Wskazać bowiem jeszcze raz należy, że dane osobowe zostały udostępnione nieuprawnionemu odbiorcy, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, nieuprawnionego odbiorcy nie można uznać za „odbiorcę zaufanego”, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Ponadto, jak wynika z wyjaśnień Spółki zawartych w piśmie z […] lutego 2021 r., Spółka ustaliła, że dane osobowe objęte przedmiotowym naruszeniem nie są publicznie dostępne w Internecie, a w Monitorze Sądowym i Gospodarczym, czy Krajowym Rejestrze Sądowym brak jest osoby o wskazanym numerze PESEL. Grupa Robocza Art. 29 w wytycznych dla sytuacji, w których zgłaszanie naruszeń nie jest konieczne wskazuje na przykład sytuacji „w której, dane osobowe już są publicznie dostępne i ujawnienie takich danych nie wiąże się z prawdopodobnym ryzykiem dla danej osoby fizycznej.” Mając na uwadze powyższe, wskazać należy, że w przedmiotowej sprawie taka okoliczność nie wystąpiła, co w konsekwencji nie obniżyło prawdopodobieństwa wystąpienia ryzyka dla osoby, której dane dotyczą.
Wskazać również należy, że podnoszona przez Spółkę okoliczność krótkiego – w jej ocenie – czasu, w jakim mogły utrzymywać się skutki naruszenia wobec osoby, której dane dotyczą, a więc od daty wystąpienia naruszenia do daty złożenia oświadczenia przez niewłaściwego odbiorcę o usunięciu wiadomości dla niego nieprzeznaczonej, nie ma zastosowania w przedmiotowym postępowaniu, bowiem, jak już to zostało wyjaśnione, oświadczenie nieuprawnionego adresata nie wyklucza możliwości materializacji doniosłych negatywnych konsekwencji naruszenia dla osoby, której dane dotyczą.
Należy również podnieść,że w przedmiotowej sprawie nie jest istotne to, czy nieuprawniony odbiorca zapoznał się z danymi osobowymi innych osób, lecz to, że wystąpiło takie ryzyko, a w konsekwencji również potencjalnie wystąpiło ryzyko naruszenia praw lub wolności podmiotu danych.
W tym miejscu wskazać należy, że dla powstania obowiązku zawiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, nie jest konieczne zmaterializowanie się negatywnych konsekwencji naruszenia, wystarczająca jest w tym zakresie sama możliwość (ryzyko) wystąpienia takich konsekwencji, które w niniejszej sprawie, w ocenie organu nadzorczego, jest wysokie. Jak bowiem stanowi art. 34 ust. 1 rozporządzenia 2016/679, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą o takim naruszeniu. Natomiast jak wynika z art. 33 ust. 1 rozporządzenia 2016/679, w przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Dokonując oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych, od której uzależnione jest dokonanie zgłoszenia naruszenia ochrony danych osobowych oraz zawiadomienie o naruszeniu osoby, której dane dotyczą, należy łącznie uwzględnić czynnik prawdopodobieństwa i wagę potencjalnych negatywnych skutków. Wysoki poziom któregokolwiek z tych czynników ma wpływ na wysokość ogólnej oceny, od której uzależnione jest wypełnienie obowiązków określonych w art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Mając na uwadze, że ze względu na zakres ujawnionych danych osobowych wystąpiła możliwość zmaterializowania się doniosłych negatywnych konsekwencji dla osoby, której dane dotyczą, to wagę potencjalnego wpływu na prawa lub wolności osób fizycznych należy uznać za wysoką. Jednocześnie prawdopodobieństwo wystąpienia wysokiego ryzyka w następstwie niniejszego naruszenia nie jest małe i nie zostało wyeliminowane. Tym samym ponownie należy wskazać, że w związku z przedmiotowym naruszeniem wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, co w konsekwencji determinuje obowiązek dokonania zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia o naruszeniu tej osoby. Grupa Robocza Art. 29 w wytycznych wskazuje, że ,,podczas oceny ryzyka, które może powstać w wyniku naruszenia, administrator powinien łącznie uwzględnić wagę potencjalnego wpływu na prawa i wolności osób fizycznych i prawdopodobieństwo jego wystąpienia. Oczywiście ryzyko wzrasta, gdy konsekwencje naruszenia są poważniejsze, jak również wtedy, gdy wzrasta prawdopodobieństwo ich wystąpienia. W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”. Również w związku z zaistnieniem naruszenia ochrony danych osobowych, co zostało już wyjaśnione w niniejszej decyzji, nie wystąpiły inne czynniki obniżające poziom prawdopodobieństwa negatywnych skutków, jak ograniczona możliwość identyfikacji, stwierdzenie, że dane osobowe są publicznie dostępne, czy uznanie niewłaściwego odbiorcy za osobę „zaufaną”. Odnosząc się w tym kontekście do publikacji UODO pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, na którą w swoich wyjaśnieniach powołuje się Spółka, gdzie organ nadzorczy wskazał, że „sytuacja w której […] korespondencja (zawierająca przynajmniej takie kategorie danych, jak imię, nazwisko i numer PESEL) jest dostarczana osobie znanej bądź nieznanej administratorowi, co do zasady wiąże się z wysokim ryzykiem dla osób, których dane dotyczą”, co w ocenie Spółki stanowi, że organ nadzorczy „nie wyklucza jednak sytuacji, że w pewnych okolicznościach ocena ryzyka może być inna (organ posługuje się zwrotem „co do zasady)” i że zdaniem Spółki „taka odmienna ocena ryzyka powinna być zastosowana w odniesieniu do przedmiotowego naruszenia ochrony danych”, należy podnieść, że oświadczenie niewłaściwego odbiorcy w sytuacji, gdy zakres danych przesądza o wysokim ryzyku naruszenia praw lub wolności osób fizycznych w świetle przytoczonych już wyżej argumentów, nie może być potraktowane jako wyjątkowa okoliczność wyłączająca obowiązek zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadomienia o naruszeniu osoby, której dane dotyczą. Jak wskazał organ nadzorczy w następnym zdaniu z przytoczonej publikacji „można przyjąć inne prawdopodobieństwo w sytuacji dostarczenia omyłkowej korespondencji osobie znanej administratorowi (np. innemu klientowi administratora, który poinformował o pomyłce bądź oświadczył, ze nie wykorzystał przekazanych omyłkowo informacji do celów prywatnych i/lub niezgodnie z prawem), nie daje to jednak żadnej gwarancji, że intencje takiej osoby obecnie bądź w przyszłości nie zmienia się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące”.
Dla lepszego zobrazowania przypadków naruszeń ochrony danych osobowych, gdzie nie występuje obowiązek dokonania zgłoszenia organowi nadzorczemu ze względu na to, iż można uznać, że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych można odnieść się do wytycznych Grupy Roboczej Art. 29. W wytycznych jako przykład naruszenia, które nie wymaga zgłoszenia organowi nadzorczemu wskazano na utratę „bezpiecznie zaszyfrowanego urządzenia mobilnego, z którego korzystają administrator i jego pracownicy. Zakładając, że klucz kryptograficzny jest bezpiecznie przechowywany przez administratora i nie jest to jedyna kopia danych osobowych, dane osobowe będą niedostępne dla atakującego. Oznacza to, że przedmiotowe naruszenie najprawdopodobniej nie będzie wiązało się z ryzykiem naruszenia praw i wolności osób, których dane te dotyczą. Jeżeli później okaże się, że klucz kryptograficzny został złamany lub oprogramowanie lub algorytm szyfrujący ma słabe punkty, poziom ryzyka naruszenia praw i wolności osób fizycznych zmieni się wówczas i zgłoszenie może stać się konieczne.” Powyższa sytuacja, w której dane osobowe są niedostępne dla osoby nieuprawnionej, a ewentualna utrata poufności tych danych uzależniona jest od trudnego do przewidzenia w czasie postępu technologicznego umożliwiającego przełamanie zabezpieczeń kryptograficznych, jest nieporównywalna do sytuacji, w której osoba nieuprawniona uzyskała dostęp do danych osobowych, jednak oświadczyła, że z danymi się nie zapoznała i usunęła błędnie przesłaną korespondencję. Taka okoliczność inaczej, niż w przypadku bezpiecznego zaszyfrowania danych, nie wyklucza możliwości nieuprawnionego zapoznania się z danymi. Za powyższym przemawia również brak możliwości rzeczywistej weryfikacji, czy dane osobowe nie utraciły atrybutu poufności. Porównując oba przypadki nie można uznać, że przedmiotowe naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych choćby w stopniu zbliżonym do sytuacji wskazanej w wytycznych przez Grupę Roboczą Art. 29, co również potwierdza, że nie nastąpiło obniżenie ryzyka do poziomu, w którym można stwierdzić, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. Ubocznie należy wskazać, że Spółka była świadoma ryzyka związanego z przekazywaniem drogą elektroniczną informacji poufnych oraz danych osobowych i w tym zakresie – jak wynika z zawartej umowy powierzenia – wymagała zastosowania przez podmiot przetwarzający adekwatnych środków technicznych i organizacyjnych polegających na zabezpieczeniu ich przy zastosowaniu środków ochrony kryptograficznej. Niemniej jednak w przedmiotowym naruszeniu środki te nie zostały zastosowane.
Odnosząc się do przykładu nr 15 naruszenia przedstawionego w wytycznych Europejskiej Rady Ochrony Danych 01/2021 w sprawie przykładów zgłoszeń naruszeń ochrony danych, wersja 1.0 (dalej również jako: Wytyczne EROD 01/2021), na który w swoich wyjaśnieniach z […] lutego 2021 r. powołuje się Spółka, gdzie naruszenie polegało na wysłaniu danych osobowych do 15 nieuprawnionych odbiorców, a następnie nadawca (administrator) skontaktował się z nieuprawnionymi odbiorcami i zwrócił się o usunięcie danych i z którego w opinii Spółki wynika, że taki krok może być uznany za środek zmniejszający ryzyko, wskazać należy, że do zakresu danych objętych naruszeniem w omawianym przykładzie należały: nazwisko, adresy e-mail i preferencje żywnościowe osób, których dane dotyczą. Jak wskazano w Wytycznych EROD 01/2021, zagrożenia wynikające z charakteru, wrażliwości, objętości i kontekstu tych danych są niskie i można stwierdzić, że naruszenie nie miało znaczącego wpływu na osoby, których dane dotyczą. I w tym kontekście fakt, że administrator danych natychmiast skontaktował się z obiorcami po powzięciu wiadomości o błędzie, może zostać uznany za czynnik łagodzący. Natomiast w przypadku naruszenia objętego niniejszym postępowaniem, co wykazano wyżej, ujawniony zakres danych powoduje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej, co wiąże się z koniecznością dokonania zgłoszenia naruszenia organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą.
W tym miejscu przytoczyć należy przykład nr 16 przedstawiony w wytycznych Europejskiej Rady Ochrony Danych 01/2021, który jest bliższy przedmiotowemu naruszeniu. Jak wynika z Wytycznych EROD 01/2021 dla tego przykładu, grupa ubezpieczeniowa w ramach oferowania ubezpieczenia samochodowego wysłała do niewłaściwego odbiorcy korespondencję zawierającą dane osobowe w postaci imienia, nazwiska, adresu, daty urodzenia, numeru tablicy rejestracyjnej oraz klasyfikację stawki ubezpieczenia w bieżącym i przyszłym roku. W wytycznych wskazuje się, że niewłaściwy odbiorca powinien zostać poinformowany, że nie może wykorzystywać odczytanych informacji, a mimo tego należy również naruszenie zgłosić organowi nadzorczemu.
Podkreślić jednak należy, że przykłady z ww. wytycznych nie obejmują kontekstu uwarunkowania krajowego, w którym ujawnienie numeru PESEL wraz z imieniem i nazwiskiem jednoznacznie identyfikuje osobę fizyczną, a w powiązaniu z danymi o stanie finansowym / majątkowym może powodować doniosłe konsekwencje dla osoby, której dane osobowe zostały ujawnione. Odnosząc powyższe do przedmiotowego naruszenia należy wskazać, że obowiązkiem Spółki było nie tylko dokonanie zgłoszenia naruszenia ochrony danych Prezesowi UODO, ale również zawiadomienie o naruszeniu osoby, której dane dotyczą.
Ponadto nie do końca zrozumiałe są powody, dla których Spółka ponownie angażowała siły i środki, aby uzyskać dodatkowe oświadczenie nieuprawnionego odbiorcy, jak i przyjmowania przez nią, że jedynym możliwym działaniem administratora w tej sytuacji może być wykazywanie, że w związku z tymi oświadczeniami zachodzą okoliczności niwelujące prawdopodobieństwo wystąpienia negatywnych skutków naruszenia dla osoby, której dane dotyczą. Mając zaś na uwadze zasadę rzetelności i przejrzystości przetwarzania danych wyrażoną w art. 5 ust. 1 lit a) rozporządzenia 2016/679 oraz stanowisko Grupy Roboczej Art. 29 zawarte w przywołanym już fragmencie wytycznych, a także wobec przekazania Spółce przez Prezesa UODO pismem z […] grudnia 2020 r. informacji o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji o tym, w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomienia o naruszeniu osoby, której dane dotyczą, dziwić może, że Spółka nie podjęła żadnych działań mających na celu realizację obowiązków administratora wynikających z art. 33 ust. 1 i art. 34 ust. 1 rozporządzenia 2016/679. Podkreślić należy, że przekazanie osobie, której dane dotyczą, informacji m.in. o środkach, jakie może podjąć w celu zminimalizowania ewentualnych negatywnych skutków naruszenia, w istotny sposób ogranicza możliwość ich wystąpienia, co ma nieporównywalne większe znaczenie dla bezpieczeństwa danych osoby, której dane dotyczą, niż dodatkowe oświadczenie niewłaściwego odbiorcy.
Dodatkowo wskazać należy, że przyjęcie stanowiska, zgodnie z którym uzyskanie stosownego oświadczenia od niewłaściwego odbiorcy powodowałoby, że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zniweczyłoby obowiązek ustanowiony przez prawodawcę zawiadomienia osoby, której dane dotyczą oraz organu nadzorczego o naruszeniu. Administratorzy zamiast zawiadomić Prezesa UODO oraz osobę, której dane dotyczą, angażowaliby siły i środki na uzyskanie stosownego oświadczenia – tak jak miało to miejsce w przedmiotowej sprawie - uznając, że zwalnia ich to z obowiązku zgłoszenia naruszenia ochrony danych organowi nadzorczemu, a także z zawiadomienia osoby, której dane dotyczą, o naruszeniu. Wskazać bowiem należy, co zresztą jest publikowane na stronie internetowej UODO w rocznych Sprawozdaniach z działalności Prezesa Urzędu Ochrony Danych Osobowych, że w zdecydowanej większości dokonywane Prezesowi UODO zgłoszenia naruszenia ochrony danych osobowych dotyczą ujawnienia danych osobie nieuprawnionej, w tym polegają na przesłaniu korespondencji do niewłaściwego odbiorcy. Brak dokonywania zgłoszenia z uwagi na uzyskanie oświadczenia osoby nieuprawnionej istotnie obniżyłoby stopień bezpieczeństwa przetwarzanych danych. Pozbawiłoby bowiem organ nadzorczy informacji o naruszeniach ochrony danych osobowych, pozwalających na właściwą reakcję mogącą ograniczyć skutki takich naruszeń, a osoby, których dane dotyczą, możliwości przeciwdziałania negatywnym skutkom naruszenia, co w konsekwencji przełożyłoby się na istotne zmniejszenie poziomu ochrony praw lub wolności tych osób.
Podkreślić należy, że oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora. W oparciu o zawiadomienie o naruszeniu osoba fizyczna może sama dokonać oceny, czy w jej opinii incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Również w oparciu o informacje przekazane przez administratora dotyczące opisu charakteru naruszenia i zastosowanych lub proponowanych środkach w celu zaradzenia naruszeniu, osoba fizyczna może dokonać oceny, czy po zaistniałym naruszeniu administrator danych nadal daje rękojmię należytego przetwarzania jej danych osobowych w sposób zapewniający bezpieczeństwo. W oparciu o taka ocenę może podjąć decyzję np. o rezygnacji z usług administratora lub w przypadku wystąpienia przesłanek, o których mowa w art. 17 rozporządzenia 2016/679 skorzystać z prawa do usunięcia danych. Brak zawiadomienia o naruszeniu osoby fizycznej w przypadku wystąpienia wysokiego ryzyka naruszenia jej praw lub wolności pozbawia ją nie tylko możliwości odpowiedniej reakcji na naruszenie, ale również możliwości dokonania samodzielnej oceny naruszenia, które przecież dotyczy jej danych osobowych i może powodować doniosłe konsekwencje dla niej. Natomiast brak zgłoszenia naruszenia ochrony danych osobowych pozbawia organ nadzorczy odpowiedniej reakcji na naruszenie, która przejawia się nie tylko w ocenie ryzyka naruszenia dla praw lub wolności osoby fizycznej, ale również w szczególności na weryfikacji, czy administrator zastosował właściwe środki w celu zaradzeniu naruszeniu i zminimalizowania negatywnych skutków dla osób, których dane dotyczą, jak również, czy zastosował odpowiednie środki bezpieczeństwa w celu zminimalizowania ryzyka ponownego wystąpienia naruszenia.
Organ nadzorczy nie podzielił stanowiska Spółki zaprezentowanego z piśmie z […] lutego 2021 r., zgodnie z którym Spółka nie ma prawnej ani faktycznej możliwości zawiadomienia o naruszeniu osoby, które dane dotyczą, z uwagi na brak aktualnych danych kontaktowych (danych adresowych) tej osoby, natomiast próba pozyskania takich danych stanowiłaby naruszenie zasady minimalizacji danych. Prezentując w obszernej argumentacji powyższe stanowisko, Spółka pominęła istotne postanowienia umowne wiążące ją z podmiotem przetwarzającym, tj. X Sp. z o.o. Jak wynika ze zgromadzonego w sprawie materiału dowodowego, Spółka zawarła z X umowę agencyjną, której integralną częścią jest załącznik stanowiący umowę powierzenia przetwarzania danych osobowych (oznaczony jako: „[…]”). Zgodnie z postanowieniem § 7 pkt 3 zawartej umowy powierzenia przetwarzania danych, agent, tj. X zobowiązuje się pomagać ERGO Hestii w wywiązywaniu się z obowiązków określonych w art. 32-36 RODO; w szczególności Agent zobowiązuje się przekazywać ERGO Hestii informacje oraz wykonywać polecenia dotyczące m.in. przypadków naruszenia ochrony danych osobowych oraz zawiadamiania o tym organu nadzorczego lub osób, których dane dotyczą. Tym samym, na podstawie powyższego postanowienia Spółka może polecić agentowi przekazanie informacji w zakresie danych kontaktowych osoby, której dane dotyczą, jak również polecić podmiotowi przetwarzającemu zawiadomienie w imieniu Spółki o naruszeniu ochrony danych osobowych osoby, której dane dotyczą, a tym samym wypełnić ciążący na Spółce obowiązek z art. 34 ust. 1 rozporządzenia 2016/679.
Podkreślić należy, że jak wynika z ustalonego stanu faktycznego, do naruszenia doszło w wyniku przypadkowego wysłania wiadomości e-mail zawierającej dane osobowe na adres e-mail innej osoby w związku z oferowaniem przez agenta ubezpieczeniowego będącego jednocześnie podmiotem przetwarzającym Spółki (tj. X Sp. z o.o.) ubezpieczenia oferowanego przez Spółkę. Zarówno błąd co do wysłania wiadomości na inny adres e-mail, jak również przekazana informacja, że osoba, której dane dotyczą, jest obecnym klientem X Sp. z o.o. świadczy o tym, ze podmiot przetwarzający jest w posiadaniu danych kontaktowych osoby, której danych osobowych naruszenie dotyczy. Ponadto, jak wynika ze zgromadzonego materiału dowodowego, Spółka, jak i podmiot przetwarzający, dla komunikacji z osobą, której dane dotyczą przewidziała kanał komunikacji w postaci korespondencji e-mailowej. Jeśli podmiot przetwarzający nie jest w posiadaniu innych danych kontaktowych, nie ma przeszkód, aby zawiadomienie zostało wysłane na adres e-mail tej osoby. Dodatkowo wskazać należy, że Spółka zgodnie z postanowieniem § 3 pkt 5 umowy powierzenia przetwarzania danych łączącej ją z X wymagała, aby przesyłana korespondencja była zabezpieczona z zastosowaniem środków ochrony kryptograficznej. Natomiast, jak wynika z wyciągu z dokumentu „[…]” obowiązującego w X Sp. z o.o., który został załączony jako materiał dowodowy do pisma Spółki z […] lutego 2021 r., „dokumenty przesyłane do klientów czy podmiotów z którymi współpracujemy powinny być zabezpieczone hasłem, zaś hasło przesyłane inną droga komunikacji (np. sms-em lub w trakcie rozmowy telefonicznej”. Powyższe świadczy, że podmiot przetwarzający powinien mieć zapewnioną możliwość kontaktu z osobą, której dane dotyczą, również innymi od korespondencji e-mailowej kanałami komunikacji. Natomiast dla sytuacji, w których dane są niewystarczające do skontaktowania się z osobą, której dane dotyczą, Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679 wskazała, że „jeżeli administrator nie jest w stanie zawiadomić danej osoby fizycznej o naruszeniu, ponieważ przechowywane dane są niewystarczające do skontaktowania się z tą osobą, w takim szczególnym przypadku administrator powinien ja poinformować tak szybko, jak jest to rozsądnie wykonalne (np. jeśli osoba fizyczna skorzysta z przewidzianego w art. 15 prawa do uzyskania dostępu do swoich danych osobowych i dostarczy administratorowi dodatkowe informacje wymagane do skontaktowania się z nią)”.
Mając na uwadze powyższe, stanowisko Spółki o braku możliwości zawiadomienia o naruszeniu osoby, której dane dotyczą, nie znajduje uzasadnienia. Dodatkowo ustosunkowując się do wątpliwości Spółki, co do braku podstawy prawnej przetwarzania danych kontaktowych osoby, której dane dotyczą, a więc właściwego odbiorcy, wskazać należy, że Spółka powyższych wątpliwości nie miała uzyskując od podmiotu przetwarzającego - niezwłocznie po stwierdzeniu naruszenia - dane osobowe niewłaściwego odbiorcy.
Podkreślić również należy, że obowiązek zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych powodującym wysokie ryzyko naruszenia praw lub wolności jest obowiązkiem wynikającym z przepisów prawa, co oznacza istnienie podstawy prawnej do przetwarzania danych osobowych niezbędnych do prawidłowej realizacji tego obowiązku, a więc np. do przetwarzania danych kontaktowych osoby, której dane zostały objęte naruszeniem.
Wskazać należy, że Spółka nie dokonała prawidłowej analizy pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędnej do oceny, czy doszło do naruszenia ochrony danych osobowych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie, czego konsekwencją był brak zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu bez zbędnej zwłoki, w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 oraz brak niezwłocznego zawiadomienia o naruszeniu osoby, której dane dotyczą, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679. Natomiast w przypadku jakichkolwiek wątpliwości wymagających przeprowadzenia postępowania wyjaśniającego umożliwiającego przekazanie informacji, o których mowa w art. 33 ust. 3 rozporządzenia 2016/679, Spółka mogła zgodnie z art. 33 ust. 4 rozporządzenia 2016/679 dokonać zgłoszenia wstępnego, a następnie udzielać informacji sukcesywnie bez zbędnej zwłoki. Spółka takich czynności jednak nie dokonała. Tym samym wobec braku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zarzuty Spółki sformułowane w piśmie z […] lutego 2021 r. o braku kwestionowania przez organ nadzorczy ryzyka spowodowanego naruszeniem przed wszczęciem i po wszczęciu postępowania administracyjnego mimo braku obowiązku organu nadzorczego do takiego działania i z pominięciem trybu przewidzianego dla takich sytuacji, nie znajdują uzasadnienia. Ponadto wskazać należy, że o tym, że przedstawiona przez Spółkę w związku z naruszeniem ochrony danych osobowych analiza może budzić wątpliwości organu nadzorczego świadczył choćby fakt wszczęcia postępowania administracyjnego w sprawie braku zgłoszenia naruszenia Prezesowi UODO oraz braku zawiadomienia o naruszeniu osoby, której dane dotyczą. Natomiast szczegółowe odniesienie się do tej analizy mogło nastąpić dopiero w decyzji wydanej w związku z tym postępowaniem.
Podkreślić jeszcze raz należy, że zgłaszając naruszenie organowi nadzorczemu, administratorzy informują Prezesa Ochrony Danych Osobowych, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeśli takie ryzyko wystąpiło - czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. W uzasadnionych przypadkach mogą również przekazać informację, że powiadomienie w ich ocenie nie jest konieczne ze względu na spełnienie warunków określonych w art. 34 ust. 3 lit. a) i b) rozporządzenia 2016/679. Prezes UODO dokonuje weryfikacji oceny dokonanej przez administratora i może - jeżeli administrator nie zawiadomił osoby - zażądać od niego takiego zawiadomienia. W sytuacji braku zgłoszenia naruszenia ochrony danych osobowych Prezes Urzędu Ochrony Danych Osobowych pozbawiony jest możliwości przeprowadzenia rzetelnej weryfikacji. Grupa Robocza Art. 29 w wytycznych wskazuje: „Zgłaszając naruszenie organowi nadzorczemu, administratorzy mogą zasięgnąć opinii tego organu w kwestii tego, czy w danym przypadku należy przekazać stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ. Organ nadzorczy może nakazać administratorowi, aby poinformował odpowiednie osoby fizyczne o naruszeniu. Zawiadomienie osób fizycznych o naruszeniu zapewnia administratorowi możliwość przekazania tym osobom informacji na temat ryzyka związanego z naruszeniem oraz wskazania działań, jakie te osoby mogą podjąć, aby uchronić się przed potencjalnymi skutkami naruszenia.” „Jednocześnie należy podkreślić, że niewywiązywanie się z obowiązku zgłoszenia naruszenia osobie fizycznej albo organowi nadzorczemu może potencjalnie skutkować nałożeniem na administratora kary zgodnie z art. 83”. W przedmiotowej sprawie, jak wynika ze zgromadzonego materiału dowodowego, Spółka miała wątpliwości, co do ryzyka naruszenia praw lub wolności osoby fizycznej, co potwierdza ponowne zwrócenie się do niewłaściwego adresata o złożenie dodatkowego oświadczenia, czy ponowne przeprowadzenie oceny ryzyka z wykorzystaniem formularza udostępnionego na stronie […], a mimo to nie zgłosiła naruszenia ochrony danych osobowych organowi nadzorczemu, nie mówiąc już o zawiadomieniu o naruszeniu osoby, której dane dotyczą.
W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw lub wolności, również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.
W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki.”.
Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. (…)”.
Zawiadamiając bez zbędnej zwłoki podmiot danych, administrator umożliwia osobie podjęcie niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia. Art. 34 ust. 1 i 2 rozporządzenia 2016/679 ma na celu nie tylko zapewnienie możliwie najskuteczniejszej ochrony podstawowych praw lub wolności podmiotów danych, ale także realizację zasady przejrzystości, która wynika z art. 5 ust. 1 lit. a) rozporządzenia 2016/679 (por. Chomiczewski Witold [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Warszawa 2018). Właściwe wywiązanie się z obowiązku określonego w art. 34 rozporządzenia 2016/679 ma zapewnić osobom, których dane dotyczą - szybką i przejrzystą informację o naruszeniu ochrony ich danych osobowych wraz z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków. Postępując zgodnie z prawem i wykazując dbałość o interesy osoby, której dane dotyczą, Spółka powinna była bez zbędnej zwłoki zapewnić osobie, której dane dotyczą, możliwość jak najlepszej ochrony danych osobowych. Dla osiągnięcia tego celu niezbędne jest przynajmniej wskazanie tych informacji, które wymienione są w art. 34 ust. 2 rozporządzenia 2016/679, z którego to obowiązku Spółka nie wywiązała się. Spółka podejmując zatem decyzję o niezawiadomieniu o naruszeniu organu nadzorczego, jak i osoby, której dane dotyczą, w praktyce pozbawiła tą osobę, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu i możliwości przeciwdziałania potencjalnym szkodom.
Stosując przepisy rozporządzenia 2016/679 należy mieć na uwadze, że celem tego rozporządzenia (wyrażonym w art. 1 ust. 2) jest ochrona podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych oraz że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest jednym z praw podstawowych (zdanie pierwsze motywu 1 preambuły). W przypadku jakichkolwiek wątpliwości np. co do wykonania obowiązków przez administratorów - nie tylko w sytuacji, gdy doszło do naruszenia ochrony danych osobowych, ale też przy opracowywaniu technicznych i organizacyjnych środków bezpieczeństwa mających im zapobiegać - należy w pierwszej kolejności brać pod uwagę te wartości.
W konsekwencji należy stwierdzić, że Spółka nie dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomiła bez zbędnej zwłoki osoby, której dane dotyczą, o naruszeniu ochrony jej danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tych przepisów.
Zgodnie z art. 34 ust. 4 rozporządzenia 2016/679, jeżeli administrator nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o których mowa w ust. 3. Z kolei z treści art. 58 ust. 2 lit. e) rozporządzenia 2016/679 wynika, że każdemu organowi nadzorczemu przysługuje uprawnienie naprawcze w postaci nakazania administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych.
Ponadto zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EURO, a w przypadku przedsiębiorstwa - w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) - h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO - stosownie do treści art. 83 ust. 2 lit. a) - k) rozporządzenia 2016/679 - wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej administracyjnej kary pieniężnej:
- Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Stwierdzone w niniejszej sprawie naruszenie polegające na udostępnieniu osobie nieuprawnionej danych osobowych w postaci: numeru PESEL wraz z imieniem i nazwiskiem, miejscowością, kodem pocztowym oraz danych dotyczących sytuacji finansowej/majątkowej podmiotu danych w postaci: okresu ubezpieczenia, przedmiotu ubezpieczenia (dom), produktu ubezpieczeniowego […], sumie ubezpieczenia/sumie gwarancyjnej w kwocie stosownej do wybranego wariantu oraz wysokości składki odpowiedniej do wybranego wariantu ubezpieczenia, ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osoby, której dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.
- Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia. Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych do dnia wydania niniejszej decyzji upłynęło kilka miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osoby dotkniętych naruszeniem mogło się zrealizować, a czemu osoba te nie mogła przeciwdziałać ze względu na niewywiązanie się przez Spółkę z obowiązku zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO oraz z obowiązku powiadomienia jej o naruszeniu.
- Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).
Spółka podjęła świadomą decyzję, by nie zawiadamiać o naruszeniu Prezesa UODO, jak i osoby, której dane dotyczą, pomimo powzięcia informacji o zdarzeniu od podmiotu przetwarzającego oraz skierowanego do niej pisma Prezesa UODO informującego o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji, o tym w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu i zawiadomienia o naruszeniu osoby, której dane dotyczą. Takie zaniechanie w tym zakresie, pomimo obowiązku działania ,,bez zbędnej zwłoki”, sprawiło, że osobie fizycznej uniemożliwiono możliwie najszybsze podjęcie działań, aby uchronić się przed wszelkimi negatywnymi skutkami naruszenia, co z kolei nie pozostaje bez wpływu na ich skuteczność w przypadku wykonania tego obowiązku przez Spółkę.
- Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).
W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pismo Prezesa UODO informujące o obowiązkach ciążących na administratorze w związku z naruszeniem ochrony danych, jak również informacji, o tym w jaki sposób Spółka może dokonać zgłoszenia naruszenia, czy wreszcie wobec wszczęcia postępowania administracyjnego w przedmiocie obowiązku zgłoszenia naruszenia ochrony danych osobowych i zawiadomienia o naruszeniu osoby, której dane dotyczą. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osoby, której dotyczyło naruszenie) nie zostały podjęte przez Spółkę nawet po wszczęciu przez Prezesa UODO postępowania administracyjnego w sprawie.
- Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).
Dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres (imię i nazwisko, miejscowość, kod pocztowy, numer PESEL, dane o stanie finansowym/majątkowym podmiotu danych w postaci przedmiotu i produktu ubezpieczenia – dom od ognia i zdarzeń losowych, odpowiedzialność cywilna w życiu prywatnym, wariant rozszerzenia zakresu ubezpieczenia, suma ubezpieczenia/suma gwarancyjna, wysokości składek, okres ubezpieczenia), wiąże się z wysokim ryzykiem naruszenia praw i wolności osób fizycznych.
- Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).
O naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest o udostępnieniu osobie nieuprawnionej danych osobowych przetwarzanych przez Spółkę działającą jako administrator tychże danych, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazanie takiej informacji Prezesowi UODO należy uznać za obciążającą tego administratora.
Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:
- Liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679).
W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych tylko jednej osoby. Taka liczba osób dotkniętych naruszeniem, szczególnie wobec faktu, że Spółka – w związku z ze skalą i zakresem swojej działalności - przetwarza dane osobowe bardzo dużej liczby klientów (osób ubezpieczonych i ubezpieczających), należy uznać za niewielką, co niewątpliwie stanowi okoliczność łagodzącą w niniejszej sprawie.
- Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).
Spółka zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Takie działanie Spółki zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne z gwarancją faktycznego usunięcia przez osobę nieuprawnioną danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.
Żadnego wpływu na fakt zastosowania przez Prezesa Urzędu Ochrony Danych Osobowych w niniejszej sprawie sankcji w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:
a) stopień odpowiedzialności administratora z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679) - naruszenie oceniane w niniejszym postępowaniu (niezgłoszenie Prezesowi UODO naruszenia ochrony danych osobowych oraz niezawiadomienie o naruszeniu ochrony danych osobowych osób, których dane dotyczą) nie ma związku ze stosowanymi przez administratora środkami technicznymi i organizacyjnymi;
b) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 ze strony administratora (art. 83 ust. 2 lit. e rozporządzenia 2016/679) – nie stwierdzono wcześniejszych naruszeń przepisów rozporządzenia 2016/679 przez Spółkę;
c) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679) - w sprawie Prezes UODO nie stosował wcześniej środków, o których mowa we wskazanym przepisie;
d) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679) - administrator nie stosuje zatwierdzonych kodeksów postępowania ani zatwierdzonych mechanizmów certyfikacji;;
e) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k) - nie stwierdzono aby administrator osiągnął w związku z naruszeniem jakiekolwiek korzyści lub uniknął strat finansowych.
W ocenie Prezesa UODO zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.
Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie.
W ocenie Prezesa Urzędu Ochrony Danych Osobowych administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce, jak i innym administratorom danych, na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.
Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia - według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.
Mając powyższe na uwadze, Prezes Urzędu Ochrony Danych Osobowych, na podstawie art. 83 ust. 4 lit. a) w związku z art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, za naruszenie opisane w sentencji niniejszej decyzji, nałożył na Spółkę – stosując średni kurs euro z dnia 28 stycznia 2021 r. (1 EUR = 4,5479 PLN) – administracyjną karę pieniężną w kwocie 159.176 PLN (co stanowi równowartość 35.000 EUR).
W ocenie Prezesa Urzędu Ochrony Danych Osobowych, zastosowana kara pieniężna w wysokości 159.176 PLN (słownie sto pięćdziesiąt dziewięć tysięcy sto siedemdziesiąt sześć złotych), spełnia w ustalonych okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych. Odnosząc się do wysokości wymierzonej Spółce administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych uznał, iż jest ona proporcjonalna do sytuacji finansowej Spółki i nie będzie stanowiła dla niej nadmiernego obciążenia.
Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję organu nadzorczego na stopień naruszenia obowiązków administratora, z drugiej jednak strony nie powodowała sytuacji, w której konieczność uiszczenia kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych, o czym świadczy chociażby sprawozdanie finansowe Spółki za okres od […] stycznia 2020 roku do […] grudnia 2020 roku, przesłane do Prezesa UODO w dniu […] lutego 2021 r.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r. poz. 2325 ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2020 r. poz. 1325, z późn. zm.), od dnia następującego po dniu złożenia wniosku.
Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.