Prezes UODO nałożył na Sopockie Towarzystwo Ubezpieczeń ERGO Hestia karę w wysokości blisko 160 tys. zł. Jest to wynik niezawiadomienia organu nadzorczego o naruszeniu ochrony danych a także braku poinformowania o tym naruszeniu osoby, której dotyczy dane.
Zdarzenie zostało zgłoszone przez firmę zajmującą się pośrednictwem ubezpieczeniowym. Pełniła ona role administratora danych osobowych ale też podmiotu przetwarzającego względem towarzystw ubezpieczeniowych.
Zasygnalizowane naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika firmy pośredniczącej do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia. Informacja ta zawierała takie dane osobowe jak:
imię, nazwisko,
numer PESEL,
miejscowość,
kod pocztowy
informację o przedmiocie ubezpieczenia.
Firma pośrednicząca zgłosiła naruszenie jako administrator danych ale też jako procesor poinformowała o zdarzeniu Sopockie Towarzystwo Ubezpieczeń ERGO Hestia S.A. Ten podmiot nie zgłosił jednak żadnego naruszenia.
Odpowiadając na zapytanie UODO, towarzystwo ubezpieczeń potwierdziło, że wprawdzie miało miejsce naruszenie ochrony danych, niemniej jednak w oparciu o ocenę ryzyka naruszenia praw i wolności osób fizycznych przyjęte, iż nie było konieczności zgłoszenia naruszenia Prezesowi UODO i podmiotom danych.
Organ nadzorczy miał jednak zastrzeżenia do przeprowadzenia analizy ryzyka, zarzucając administratorowi błędy w tym zakresie.
W ocenie Prezesa UODO błędy te polegały w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania. To zaś świadczyło o dowolności i tendencyjności przeprowadzonej analizy.
Dodatkowo spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości. Wynikało z niego, że nie jest on w posiadaniu wysłanych dokumentów a także że nie jest mu znana treść załączonych do wiadomości dokumentów, ponieważ nie zapoznawał się z ich treścią przed usunięciem wiadomości. W ocenie organu nadzorczego nie wykluczało to jednak przyjęcia, iż wystąpiło wysokie ryzyko naruszenia praw lub wolności podmiotu danych w tym także możliwość wystąpienia negatywnych konsekwencji w przyszłości.
Wręcz przeciwnie, Prezes UODO wskazał, że naruszenie przejawiało się tu w udostępnieniu danych nieuprawnionemu odbiorcy, którego nie można było uznać za odbiorcę zaufanego. O wysokim ryzyku naruszenia świadczył też zakres udostępnionych danych.
Reasumując, Prezes UODO uznał, że spółka niesłusznie zaniechała zgłoszenia naruszenia organowi nadzorczemu jak i podmiotowi danych.
Strona internetowa UODO (uodo.gov.pl)
Orzeczenie:
Decyzja Prezesa UODO z 21 czerwca 2021 r. (DKN.5131.3.2021)
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
