Niezgłoszenie naruszenia ochrony danych było przyczyną nałożenia na Link4 administracyjnej kary pieniężnej w wysokości prawie 104 tys. zł. Sprawdzamy, jakie były okoliczności, w związku z którymi Prezes UODO ukarał ubezpieczyciela.
Stan faktyczny sprawy był dość zbliżony do innych tego typu zdarzeń z udziałem ubezpieczycieli. Otóż Link4 Towarzystwo Ubezpieczeń S.A. omyłkowo wysłało wiadomość e-mail z załącznikiem zawierającym dane osobowe do nieuprawnionej osoby. W wysłanym e-mail znalazły się następujące dane, w tym również dane osobowe:
imię i nazwisko,
adres do korespondencji,
marka, model, numer rejestracyjny samochodu,
numer polisy, numer szkody, jej wartość,
kwota uznanego roszczenia.
Odbiorca e-maila poinformował Link4 o otrzymaniu wiadomości zawierającej cudze dane osobowe. Nie spotkało się to jednak z jakąkolwiek reakcją ubezpieczyciela. W związku z tym odbiorca poinformował o zdarzeniu Prezesa Urzędu Ochrony Danych Osobowych, który wszczął postępowanie.
Ubezpieczyciel w wyjaśnieniach składanych do Prezesa UODO wskazywał, że doszło tu do omyłki wskutek błędu ludzkiego. Jednocześnie podkreślił, że w związku ze zdarzeniem przeprowadził analizę ryzyka, opierającej się o metodologię ENISA i kalkulator oceny wagi naruszenia dostępny bezpłatnie w internecie. W wyniku analizy administrator doszedł do wniosku, że ryzyko naruszenia praw i wolności podmiotu danych jest niskie. Z tego względu administrator odnotował zdarzenie w rejestrze naruszeń i zrezygnował z jego zgłaszania.
Z oceną tą nie zgodził się jednak organ nadzorczy. Wskazał bowiem, że w ocenie należało położyć nacisk na istnienie samego ryzyka naruszenia praw lub wolności osób fizycznych a nie na wystąpienie tego naruszenia.
Istnienie ryzyka zmaterializowania się naruszenia praw i wolności osób fizycznych uzasadnia zgłoszenie naruszenia ochrony danych, jeżeli jest to ryzyko więcej niż małe.
W ocenie Prezesa UODO oceny tego ryzyka należy dokonywać z uwzględnieniem przede wszystkim osoby, której dane dotyczą, a nie interesów administratora. Tego zdaniem organu nadzorczego zabrakło w działaniach ubezpieczyciela.
Wymierzając karę pieniężną w wysokości 103 752 zł, Prezes UODO uwzględnił m.in. długi czas trwania naruszenia, jego umyślność i niezadowalający poziom współpracy z organem nadzorczy. Wziął także pod uwagę stwierdzone naruszenie ochrony danych w innym postępowaniu przeciwko ubezpieczycielowi. Nie bez znaczenia jest tu także przewidziany dla ubezpieczyciela w art. 35 ust. 1 ustawy z 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej obowiązek zachowania tajemnicy ubezpieczeniowej. Dotyczy ona informacji zawartych w poszczególnych umowach ubezpieczenia.
www.gov.pl/web/cppc/cyberbezpieczny-samorzad
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
