Jakie informacje powinny być podane w zawiadomieniu o naruszeniu ochrony danych osoby, której dane dotyczą (zgodnie z decyzją Prezesa UODO).
17/04/2019
Pełnomocnik pewnej spółki złożył do Prezesa Urzędu Ochrony Danych Osobowych zgłoszenie naruszenia ochrony danych osobowych. Naruszenie polegało na przesłaniu wiadomości e-mail dotyczącej jednego z potencjalnych klientów na niewłaściwy adres poczty elektronicznej, w wyniku czego dane osobowe potencjalnego klienta zostały udostępnione osobie nieuprawnionej.
W zgłoszeniu administrator podał, że naruszenie dotyczyło takich danych jak: imię, nazwisko, adres, numer PESEL, numer polisy, dane pojazdu (w tym nr rejestracyjny i numer VIN), numer propozycji zawarcia ubezpieczenia, okres ubezpieczenia, warunki ubezpieczenia, adres e-mail, data urodzenia, obywatelstwo, historia ubezpieczenia, dane dotyczące prawa jazdy, stan cywilny, fakt posiadania dzieci, miejsce parkowania pojazdu, numer rachunku do wpłaty składki, płeć oraz wybrany pakiet ubezpieczenia. (Patrz: Schemat procedury zgłaszania naruszenia ochrony danych osobowych).
Administrator ocenił ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jako średnie i zrezygnował z zawiadomienia tej osoby o zdarzeniu wskazując, że po naruszeniu administrator zastosował środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą, tj. skierował do osoby, która otrzymała dane jej niedotyczące, informację o konieczności usunięcia wiadomości elektronicznej oraz o poufności danych zawartych w tej wiadomości i zakazie jej wykorzystywania. Zwrócił się też o potwierdzenie usunięcia wiadomości. W odpowiedzi otrzymał informację zwrotną o braku możliwości dostarczenia wiadomości.
Prezes UODO korzystając ze swoich uprawnień, skierował do spółki wystąpienie. Wskazał w nim, że naruszenie poufności danych takich jak numer PESEL wraz z imieniem i nazwiskiem, adresem zamieszkania, danymi ekonomicznymi i finansowymi, a także dokumentacją dotyczącą ubezpieczanego pojazdu powoduje wysokie ryzyko dla praw i wolności osoby, wymaga zawiadomienia osoby o naruszeniu celem poinformowania jej m.in. o możliwych negatywnych skutkach naruszenia oraz działaniach (środkach), jakie może ona podjąć w celu zabezpieczenia przed negatywnymi skutkami naruszenia (Patrz: Zawiadamianie osoby, której dane dotyczą o naruszeniu ochrony danych osobowych).
W swoim wystąpieniu Prezes UODO podpowiedział administratorowi, w jakich możliwych nieuprawnionych celach dane osoby mogą być wykorzystane oraz o jakich przykładowych środkach zabezpieczających powinna być ona zawiadomiona w celu zabezpieczenia się przed negatywnymi skutkami naruszenia. W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o takim naruszeniu. Oznacza to, że administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw i wolności również osobę, której dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej (Patrz: Wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679).
Spółka zdecydowała się zawiadomić osobę o naruszeniu dopiero po wszczęciu postępowania administracyjnego w niniejszej sprawie. Jednakże w zawiadomieniu, które skierowała do osoby, której dane dotyczą, nie wskazała osobie możliwych sposobów nieuprawnionego wykorzystania danych ograniczając się jedynie do stwierdzenia „W konsekwencji powyższego osoba trzecia może posłużyć się Pana danymi”. Zawiadomienie osoby, nie obejmowało również wskazania środków w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
Zauważyć należy, że zgodnie ze stanowiskiem Prezesa UODO, możliwe jest uzyskanie przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji – w celu pozyskania jak największej liczby klientów umożliwia uzyskanie pożyczki lub kredytu w łatwy, szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości. Dane takie jak imię i nazwisko wraz z nr PESEL mogą być również wykorzystane do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia osoby, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL.
Podanie imienia, nazwiska i numeru PESEL jest wystarczające w większości przypadków dla zagłosowania na wybrany projekt obywatelski w ramach budżetu partycypacyjnego i dotychczas zdarzały się przypadki podszywania pod inne osoby w celu uzyskania dodatkowych głosów. Większość władz lokalnych, umożliwia oddanie głosu za pomocą elektronicznego formularza, a formą uwierzytelnienia tożsamości osoby oddającej swój głos jest wskazanie w formularzu głosowania imienia, nazwiska oraz numeru PESEL. Również głosujący w formie tradycyjnej (papierowe karty do głosowania) są w wielu gminach zobowiązani do wskazania imienia, nazwiska, miejsca zamieszkania oraz numeru PESEL.
Dane osobowe innej osoby mogą być również wykorzystane w celu wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego oszustwa.
Oprócz obowiązku wskazania osobie, której dane dotyczą, opisu możliwych konsekwencji naruszenia, spółka zobowiązana była również do przekazania osobie, której dane dotyczą, opisu środków proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych, w tym środków, które osoba może podjąć w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.
Jakub Gosz, radca prawny
Pełna treść decyzji PUODO znajduje się w poniższym linku