by KBZ Legal

Bez kategorii14 września 20210 comments

Niezawiadomienie PUODO

Nie jesteś pewien czy naruszenie ochrony danych osobowych może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych i zastanawiasz się czy powinieneś je zgłosić PUODO? Pamiętaj, że za niezgłoszenie naruszenia PUODO także może nałożyć karę!

Tak stało się w przypadku Sopockiego Towarzystwa Ubezpieczeń ERGO HESTIA S.A. Zgodnie z art. 33 ust. 1 RODO  w przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Sprawa dotyczyła naruszenia, które polegało na wysłaniu pocztą elektroniczną do niewłaściwego odbiorcy przez podmiot przetwarzający analizy potrzeb ubezpieczeniowych zawierającej dane osobowe w postaci imienia i nazwiska oraz ofertę ubezpieczenia zawierającą dane osobowe w postaci: imię, nazwisko, nr PESEL, miejscowość, kod pocztowy, informację o przedmiocie ubezpieczenia (dom), informację o produkcie ubezpieczeniowym, sumę ubezpieczenia/sumę gwarancyjną w kwocie 300 000 zł i 200 000 zł stosownie do wariantu oraz wysokość składki. Podmiot przetwarzający otrzymał pisemne oświadczenie niewłaściwego odbiorcy potwierdzające usunięcie błędnie otrzymanych dokumentów niezwłocznie po zorientowaniu się, że były przeznaczone dla kogoś innego. Z tego też względu Sopockie Towarzystwo Ubezpieczeń ERGO HESTIA S.A. uznało, że  ryzyko naruszenia praw i wolności osób fizycznych w tym przypadku jest niskie i nie zawiadomiło PUODO.

Prezes Urzędu Ochrony Danych Osobowych nie podzielił tego stanowiska. Wskazał, że Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych wyjaśniła, że o wysokim ryzyku naruszenia praw lub wolności osób fizycznych można mówić w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia

Ujawnienie danych osobowych, a w szczególności takich danych, jak numer ewidencyjny PESEL wraz z imieniem i nazwiskiem oraz informacjami o stanie finansowym / majątkowym może zostać wykorzystane lub powodować np. ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.). Wskazał, że osoby trzecie mogą podjąć próbę uzyskania pożyczek w instytucjach pozabankowych z użyciem danych osoby dotkniętej naruszeniem, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości. Nie można również wykluczyć podjęcia przez nieuprawnione osoby prób uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych co może doprowadzić do uzyskania wglądu do danych o stanie zdrowia osoby dotkniętej naruszeniem, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać potwierdzając swoją tożsamość za pomocą numeru PESEL. Ponadto osoby trzecie mogą podjąć próbę zawarcia na szkodę osoby dotkniętej naruszeniem umów cywilnoprawnych.

Tym samym Sopockie Towarzystwo Ubezpieczeń ERGO HESTIA S.A. miało obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz zawiadomienia osoby, której danych osobowych dotyczyło naruszenie o tym fakcie.

Jeśli chcą Państwo uzyskać więcej informacji na temat właściwej ochrony danych osobowych, zapraszamy do kontaktu z adwokatem Marcinem Barczykiem (mail: mbarczyk@kbzlegal.pl ) lub radcą prawnym Katarzyną Todos (mail: ktodos@kbzlegal.pl).

Zapraszamy się również do zapoznania się naszą ofertą w zakresie ochrony danych osobowych.