» RODO: 85 tys. zł kary za maila wysłanego do złego adresata w wyniku… błędu klienta -- Niebezpiecznik.pl --

Tę karę od UODO dostało towarzystwo ubezpieczeniowe. Na pierwszy rzut oka wygląda na bardzo surową, ale istotne były pełne okoliczności sprawy, a zwłaszcza błędna według UODO ocena wagi incydentu. Ta kara jest ciekawa z jeszcze jednego powodu. Codziennie setki osób dostają od różnych firm pisma, formularze i dane innych klientów. Bo ktoś (zazwyczaj ten klient, którego dane otrzymuje przypadkowa osoba) pomylił się w adresie e-mail.

Mail trafił nie tam gdzie trzeba

Kolejna kara “za RODO” wynosi dokładnie 85588 zł i dostało ją Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Okoliczności sprawy na pierwszy rzut oka nie były skomplikowane. Polisa ubezpieczeniowa została wysłana przez agenta pocztą elektroniczną do niewłaściwego adresata. W wyniku tego osoba nieuprawniona otrzymała dane innych osób dotyczące imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy ubezpieczenia.

Istotne w tej sprawie były następujące okoliczności:

  1. zgłoszenie trafiło do UODO ze strony adresata korespondencji, a nie ze strony towarzystwa ubezpieczeniowego;
  2. klient sam podał błędny adres poczty elektronicznej i to było przyczyną incydentu.

To był błąd klienta. Czy to bez znaczenia?

Skoro to klient zrobił błąd, to czy można coś zarzucić firmie ubezpieczeniowej? W ten sposób przecież każdy klient, mógłby celowo i złośliwie grać “na karę” dla firmy której nie lubi. Po prostu celowo podaje złe dane (np. kolegi) a potem czeka aż kolega zgłosi sprawę do UODO. Tu trzeba wyjaśnić, że przyczyna naruszenia nie zmienia faktu jego zaistnienia. Dane trafiły do osoby nieuprawnionej więc zgodnie z przepisami było naruszenie. To nie podlega dyskusji.

Na stwierdzeniu naruszenia nie można jednak skończyć. Po incydencie należy ocenić, czy miał on wpływ na prawa i wolności osoby, której dane dotyczyły. To z kolei wpływa na ewentualne powiadomienie o sprawie UODO (jeśli ryzyko dla osoby fizycznej nie było znikome) oraz na konieczność powiadomienia osoby, której dane dotyczą (jeśli ryzyko było duże).

» RODO: 85 tys. zł kary za maila wysłanego do złego adresata w wyniku… błędu klienta -- Niebezpiecznik.pl --

Spółka przyjęła brak wysokiego prawdopodobieństwa negatywnych skutków ponieważ… skierowała do nieuprawnionego odbiorcy prośbę o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie. Warta założyła też, że skoro nieuprawniony odbiorca sam zwrócił się do niej z zawiadomieniem o zdarzeniu to był świadomy wagi sprawy i raczej nie powinien zrobić nic złego.

UODO natomiast pochylił się nad tym, czy nieuprawnionemu odbiorcy można ufać?

Czy to był “zaufany odbiorca”?

UODO sam w decyzji przyznał, że ryzyko związane z takim zdarzeniem może być różnicowane na podstawie uznania odbiorcy za “zaufanego”. Mówią o tym wytyczne Grupy Roboczej Art. 29. Tylko, że według wytycznych bycie odbiorcą zaufanym może oznaczać, że np. ten odbiorca jest innym działem danej organizacji albo np. dostawcą, z którego usług administrator stale korzysta. Taki “zaufany” odbiorca to ktoś, kogo historie i procedury administrator w jakimś stopniu zna. W tym przypadku wg UODO odbiorca “zaufany” nie był. Można więc zażartować, że jeśli nie wiemy kim jest odbiorca, domyślnie powinniśmy wyobrażać go sobie jako człowieka w kominiarce.

Pamiętaj! Tak może wyglądać każdy odbiorca źle adresowanego maila

Mówiąc całkiem poważnie, według UODO w tym przypadku nie było mowy o “zaufanym” odbiorcy i spółka powinna się zachować w taki sposób, jak zawsze gdy dojdzie do ujawnienia osobie nieuprawnionej takiego katalogu danych (nazwiska, PESEL-e, pojazdy itd.). Ryzyko powinno być ocenione jako duże, sprawa powinna być zgłoszona do UODO i powinna być zgłoszona osobie, której dane dotyczyły. UODO zaś dowiedział się o sprawie od nieuprawnionego adresata (ups!), a zgłoszenie sprawy osobom, których dane dotyczyły, nastąpiło dopiero po uruchomieniu postępowania administracyjnego (drugie ups!). Dlatego Urząd uznał, że zastosuje karę, licząc też pewnie na to, aby wysłać sygnał do innych firm, z których — patrząc po mailach jakie spływają na redakcyjną skrzynkę — codziennie spotyka się z takimi samymi sytuacjami. Powodem nałożenia kary oficjalnie jest niespełnienie obowiązków związanych z poinformowaniem o incydencie UODO oraz osoby, której dane dotyczyły.

Jeśli interesują was szczegóły, zajrzyjcie do decyzji UODO – DKN.5131.5.2020

Wpływ na inne firmy

Tę karę zapłaci Warta, ale wielu administratorów danych może z niej wyciągnąć bardzo cenną lekcję. Lepiej zgłaszać WSZYSTKO. W przywołanej wyżej decyzji UODO przypomniał wytyczne Grupy Roboczej Art. 29, w których stwierdzono, że

Dane z UODO pokazują, że zwykle pierwszą rzeczą jaką robią administratorzy jest próba wytłumaczenia sobie, że wyciek nie był taki straszny. Czasami wymówki są mocno naciągane. W naszej redakcyjnej praktyce spotkaliśmy się z ciekawym przypadkiem z takiej kategorii.

Pewien szpital miał kiepskie pseudo-zabezpieczenie danych. Z logów serwera wynikało, że dostęp do danych uzyskały dwie osoby – ktoś, kto nas o tym powiadomił oraz ktoś inny (prawdopodobnie redaktor Niebezpiecznika, ale to nie było pewne). Szpital dowiedział się o incydencie od nas. W związku z tym dostaliśmy od szpitala żądanie przedstawienia oświadczenia o tym, że to my byliśmy “tą drugą osobą” oraz że to co zrobiliśmy może być uznane za niezamówiony test bezpieczeństwa. To było kuriozalne. Oświadczenia nie przekazaliśmy i poradziliśmy szpitalowi, aby nie brał przy ocenie ryzyka, że to my zaglądaliśmy do danych (a czy to byliśmy my…. któż to wie?).

Podobny był przypadek Freshmaila, który także zakładał, że to my uzyskaliśmy dostęp do danych, więc nie było tak źle. Trzeba jednak przyznać, że Freshmail powiadomił o sprawie UODO.

Korci nas również, by przypomnieć sprawę firmy OCHNIK, która niby powiadomiła o wycieku, ale tak jakby nie. Firma ta próbowała również zobowiązywać klientów do zachowania w tajemnicy informacji o wycieku, co nigdy nie jest dobrym pomysłem.

Na koniec, drodzy administratorzy danych osobowych, dajcie znać w komentarzach (anonimowo) ile kar byście dostali, gdyby UODO dowiedziało się o tym, ilu naruszeń nie zgłosiliście. I zapamiętajcie: wygląda na to, że lepiej zgłaszać więcej niż mniej.

Przeczytaj także: