Wnioski z kary UODO ws. Warty

Wyobraź sobie. Kontaktujesz się z klientem, dokonujecie wstępnych ustaleń, wysyłasz maila na adres podany przez klienta, otrzymujesz informacje od obcej osoby, że otrzymała maila, a następnie urząd ochrony danych osobowych wkleja Ci karę za naruszenie.
Chwila, co? Jak to tego doszło?
W grudniu Prezes Urzędu Ochrony Danych Osobowych (PUODO) wymierzył karę za przesłanie danych na złego maila, pomimo tego, że za błąd w adresie ponosił odpowiedzialność klient. Na pierwszy rzut oka sytuacja wydaje się abstrakcyjna. Spójrzmy zatem do samej decyzji i zbadajmy za co dokładnie została nałożona. Co jednak najważniejsze postarajmy się wyciągnąć z niej jakieś lekcje dla Ciebie.
Wnioski:
- sprawdzaj adres e-mail przed wysłaniem wiadomości z danymi osobowymi,
- przy pierwszym kontakcie potwierdź adres lub zabezpiecz wiadomość,
- pamiętaj, że prośba o usunięcie danych nie wyłącza naruszenia,
- wyciek danych takich jak imię, nazwisko, adresy, numery, PESEL, to poważna sprawa, którą trzeba zgłosić,
- nie lekceważ naruszeń RODO.
Jeszcze raz, za co ta kara?
Pracownik Towarzystwa Ubezpieczeniowego Warta S.A. wysłał dokumenty do nieuprawnionego adresata.
W dokumentacji znalazły się m.in. takie informacje: imię, nazwisko, adres e-mail, numer telefonu, PESEL, przedmiot ubezpieczenia.
Warta jednak nie zgłosiła wycieku przyjmując, że ze względu na brak wysokiego ryzyka naruszenia praw i wolności nie ma takiego obowiązku. Skontaktowano się jedynie z osobą, która dane otrzymała i poproszono o usunięcie otrzymanych informacji.
Główny problem z tą sprawą jest taki, że to klient, którego dane dotyczyły, swoim działaniem doprowadził do wycieku danych. To on właśnie podał błędny adres e-mail.
Treść decyzji
Jakkolwiek sam fakt ukarania może wydawać Ci się abstrakcyjny, to jednak warto poświęcić chwilę na analizę tej decyzji PUODO.
W ten sposób można wyciągnać najważniejsze wnioski i uniknąć podobnych błędów w swoim działaniu.
Przyznam Ci się szczerze, że sam na początku byłem zdziwiony i lekko rozbawiony tą karą, ale po głębszej lekturze zauważyłem kilka naprawdę celnych uwag PUODO. Spójrzmy razem. Przedstawię Ci poszczególne wypowiedzi urzędu, a następnie wyjaśnię co to znaczy dla Ciebie.
Wina klienta nic nie zmienia
Urząd w swojej decyzji wskazał:
[…] fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych.
Widzimy tutaj zatem obiektywne podejście, według którego kwestia odpowiedzialności za błąd nie ma znaczenia dla stwierdzenia naruszenia.
Jeżeli zatem przetwarzasz dane swoich klientów, to musisz pamiętać, że to na Tobie spoczywa obowiązek dbania o bezpieczeństwo ich danych.
Czy to jest sprawiedliwe? Moim zdaniem nie do końca, ale z drugiej strony, kto ma większe możliwości zadbania o bezpieczeństwo danych, wielki podmiot jak Warta, czy pojedyncza jednostka?
Nie do końca kupuję taką argumentację, ale musimy to zaakceptować. Możesz myśleć o zapewnieniu bezpieczeństwa danych osobowych jako sposobie budowania swojej renomy jako profesjonalnego podmiotu.
Co znaczy "wysokie ryzyko"?
Artykuł 33 i 34 RODO nakłada na administratora obowiązek poinformowania urzędu oraz osoby, której dane dotyczą, o wycieku danych, chyba, że ryzyko naruszenia praw lub wolności osoby jest małe.
Warta oparła się na tym “wyjątku” od obowiązku powiadomienia i twierdziła, że wyciek nie może wywołać negatywnych skutków.
Z taką argumentacją nie zgodził się urząd, który stwierdził, że wyciek takich informacji jak imię, nazwisko, PESEL, adres zamieszkania, adres e-mail oraz inne dane podane w przesłanej umowie, powoduje wysokie ryzyko naruszenia praw lub wolności.
Tym samym urząd dał nam kolejną cenną wskazówkę na jakie dane musimy szczegółnie uważać.
Wynika z tego prosta lekcja, którą pewnie już znasz. Nie można lekceważyć wycieku, nawet jeżeli jest to “tylko” prosty mail z kilkoma danymi.
Wyciekło imię, nazwisko, adres e-mail, numer telefonu? Najprawdopodobniej nie musisz zawiadomiać o tym UODO (chociaż nawet wtedy masz pewne obowiązki, więcej o tym przeczytasz niedługo na blogu).
Wyciekły różne dane, w tym PESEL? Zdecydowanie należy potraktować to jako zdarzenie związane z wysokim ryzykiem dla osoby, której dane wyciekły.
Prośba o usunięcie danych
Warta broniąc się przed urzędem twierdziła, że podjęła pewne działania, w szczególności zwróciła się do osoby, która otrzymała dokumenty.
Urząd stwierdził jednak, że:
Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie lub w przyszłości nie zmienią się.
Z bólem serca muszę przyznać, że urząd ma tutaj rację. Samo zwrócenie się z prośbą o usunięcie danych nie ma żadnego skutku, ponieważ nie wiemy, czy ta osoba się do tego zastosowała.
Nie znamy odbiorcy, nie wiemy jaki jest i jakie ma pomysły. Jest szansa, że zachowa się w porządku i zastosuje się do naszej prośby, ale jest również szansa, iż skopiuje sobie najważniejsze dane i później je roześle lub sprzeda.
Czy nie warto zatem się kontaktować? Moim zdaniem warto. Po pierwsze jest to przejawem naszej dbałości i staranności, wykazujemy w ten sposób, że zależy nam na usunięciu skutków naruszenia. Po drugie, odbiorca może się okazać w porządku i naprawdę usunąć otrzymane dane.
Zaufanie ma znaczenie
W kontekście kwestii poruszonych w poprzednim akapicie, urząd dodał, że w tej sytuacji ma znaczenie kto otrzymał dane. Bowiem, jeżeli jest to podmiot, z którym prowadzimy stałą współpracę, to możemy realnie oczekiwać wykonania naszej prośby o usunięcie danych. To zaś wpływa na oszacowanie ryzyka naruszenia praw lub wolności, o którym wspominają art. 33 i 34 RODO.
Jeżeli zatem omyłkowo wysłałeś maila z danymi klienta do podwykonawcy, z którym od dawna pracujesz, to możesz oczekiwać wykonania Twojej prośby o usunięcie.
Wynika to z tego, że znając odbiorcę wiesz jakie ma intencje i podejście do kwestii ochrony danych osobowych.
Wobec tego ryzyko jest znacznie mniejsze niż przy zupełnie obcej osobie.

Rekomendowane środki bezpieczeństwa
To chyba najważniejsza część decyzji dla nas. Warta miała jakieś swoje uchybienia, ale co Ty możesz zrobić, aby nie spotkać się z podobną sytuacją?
Urząd wskazuje kilka metod. Przede wszystkim przed wysyłką wiadomości z wieloma ważnymi danymi powinniśmy zweryfikować raz jeszcze poprawność adresu.
Co więcej, jeżeli wysyłamy coś pierwszy raz, to zadbajmy o to, aby załączniki z danymi były np. zabezpieczone hasłem. Od siebie dodam, że można to bardzo łatwo zrobić w programach typu 7zip, winrar itp.
To ma naprawdę sporo sensu i szczerze rekomenduję stosowanie się do tych wytycznych.
Nie kosztuje to dużo wysiłku, a pozwala zadbać o bezpieczeństwo danych klienta oraz swojego biznesu.
Kara za... winę klienta?
Nie chciałbym powielać wielu clickbaitowych tytułów. Miałem już okazję widzieć nagłówki sugerujące, że Warta dostała karę wyłącznie z powodu winy klienta.
Nie chcę Cię zanudzać i nie będę przytaczał całości decyzji (możesz to przeczytać samodzielnie tutaj), ale zwrócę uwagę, że konkretnymi podstawami dla ukarania były umyślny brak zgłoszenia naruszenia, zbyt długi czas reakcji, brak odpowiednich zabezpieczeń oraz inne.
Podsumowanie
Na pierwszy rzut oka decyzja PUODO wydaje się komiczna, jednak kiedy się w nią wczytamy, to widzimy, że podstawy dla ukarania były trochę inne niż sugerują to niektóre serwisy.
Z tej decyzji możesz również wyciągnąć kilka wskazówek. W najkrótszej możliwie formie:
- sprawdzaj adres e-mail przed wysłaniem wiadomości z danymi osobowymi,
- przy pierwszym kontakcie potwierdź adres lub zabezpiecz wiadomość,
- pamiętaj, ze prośba o usunięcie danych nie wyłącza naruszenia,
- wyciek danych takich jak imię, nazwisko, adresy, numery, PESEL, to poważna sprawa, którą trzeba zgłosić
- nie lekceważ naruszeń RODO.
Zależy Ci na spełnieniu wymagań z RODO i chcesz być na bieżąco z newsami związanymi z bezpieczeństwem danych? Zapisz się do naszego newslettera.
Ostatnie posty
Pojedynek nietoperzy: DC Comics v. Valencia
Blog o prawie autorskim, danych osobowych i nowych technologiach Artykuły Pojedynek nietoperzy: DC Comics v. Valencia Najnowszy Batman przypomniał mi o dosyć …
Blog o prawie autorskim, danych osobowych i nowych technologiach Artykuły Świąteczne marki i wynalazki Święta coraz bliżej, a wraz z tym szał …
Czy wybór domeny może naruszyć znak towarowy innego przedsiębiorcy? Czy znak towarowy może naruszyć domenę? Czy można zarejestrować domenę jako znak towarowy?
Czy udostępnienie hiperłącza może mieć prawne konsekwencje? Czy link może naruszyć czyjeś dobra osobiste? - Druga część tematu poświęconego hiperlinkom - tym razem w kontekście dóbr osobistych.
Czy transmisja meczu piłkarskiego lub innego wydarzenia sportowego prezentowanego w telewizji podlega ochronie? Jeżeli tak, to w jaki sposób? Komu przysługują prawa do transmisji? Czy wobec tego legalny jest streaming meczów?
Zastanawiałeś się kiedyś jak wygląda kwestia praw autorskich w przypadku dodawanych przez Ciebie zdjęć? Albo inaczej, prościej. Myślałeś kiedyś co się dzieje z dodanymi zdjęciami z prawnego punktu widzenia? Jak to wygląda? Dodajesz zdjęcie z wakacji na Facebooku i Instagramie. Kto ma do niego prawa? Kto może z niego korzystać? Czy możesz je swobodnie usunąć?

- kontakt@prawojutra.pl