Anna Kuś-Kluka

19 marca 2021

Obowiązek zgłoszenia naruszenia ochrony danych osobowych – ostrożności nigdy za wiele?

Ponownie przypominamy, iż Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej „RODO”, a w szczególności jego art. 33 oraz art. 34 nakładają na Administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych pod pewnymi, określonymi w tychże przepisach warunkami.


O konsekwencjach wynikających z niezgłoszenia naruszenia ochrony danych osobowych przekonała się ostatnio w dość dotkliwy sposób spółka Enea S.A. z siedzibą w Poznaniu, na którą decyzją z dnia 11.01.2021 r., znak DKN.5131.7.2020 Prezes Urzędu Ochrony Danych Osobowych nałożył karę administracyjną w wysokości 136 437 PLN (słownie: sto trzydzieści sześć tysięcy czterysta trzydzieści siedem złotych).

 

Przedmiotowe naruszenie polegało na przesłaniu przez osobę związaną ze spółką Enea S.A. wiadomości e-mail do nieuprawnionego adresata. Załącznikiem do wiadomości był plik zawierający dane osobowe adresata i 250 innych osób (klientów Enea S.A.). Co za tym idzie, doszło do ujawnienia danych osobowych w postaci imion, nazwisk, adresów e-mail, numerów telefonów oraz informacji dotyczących daty rejestracji klientów osobie trzeciej. Nadawca wiadomości był, jak wynika z późniejszych wyjaśnień Spółki, współpracownikiem spółki, z którą współpracuje wykonawca prowadzący dla Enea S.A. badania jakościowe, a zatem stały dostawca usług spółki Enea S.A.

 

W swoich wyjaśnieniach Enea S.A. wielokrotnie wskazywała organowi nadzorczemu, iż w jej ocenie doszło do naruszenia ochrony danych osobowych, jednakże nie skutkowało ono koniecznością zawiadomienia organu nadzorczego z uwagi na to, iż ujawnione dane nie miały szczególnego charakteru, zaś Spółka zna tożsamość adresata korespondencji, któremu zostały ujawnione dane i otrzymała od niej oświadczenie, że w sposób trwały zniszczył on załącznik, do którego otrzymania nie była upoważniony. Enea S.A. uznała, iż zastosowane przez nią środki zaradcze doprowadziły do wyeliminowania prawdopodobieństwa dalszego naruszenia ochrony danych.

 

PUODO w decyzji nakładającej karę pieniężną na spółkę Enea S.A. nie przychylił się do jej stanowiska, argumentując zasadność swojej decyzji faktem, iż w jego ocenie możliwym ryzykiem związanym  z zaistniałym zdarzeniem jest bowiem w szczególności utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Organ uznał, że dane te mogły: „np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów poprzez e-mail lub telefon – również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie, przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji. Powyższe oznacza zatem, że w przypadku przedmiotowego naruszenia ochrony danych osobowych istnieje ryzyko naruszenia praw lub wolności osób fizycznych”.

 

Co za tym idzie, organ uznał, że wdrożone przez Enea S.A. środki zaradcze, które Administrator wprowadził bezzwłocznie, winny zostać skwitowane zawiadomieniem o naruszeniu ochrony danych Prezesa Urzędu Ochrony Danych Osobowych i nie ma przy tym znaczenia fakt, iż w wyniku naruszenia nie doszło do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak kontrola nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenia dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub innych szkód gospodarczych lub społecznych, o których mowa w motywie 85 Preambuły RODO.

 

Dla oceny ryzyka naruszenia praw i wolności osób fizycznych, w ocenie PUODO, nie ma również  znaczenia to, iż Administrator zwrócił się do niewłaściwego odbiorcy o usunięcie otrzymanej korespondencji, a ten złożył oświadczenie o trwałym jej usunięciu. W opinii organu spółka Enea S.A. bowiem nie ma pewności, ze adresat nie skopiował, ani nie spisał danych osobowych zawartych w załączniku.

 

 W tym miejscu autor ponownie pozwoli sobie na przytoczenie fragmentu uzasadnienia decyzji PUODO: „W wytycznych Grupy Roboczej Art. 29 stwierdzono: ,,To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład  w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”.

 

Na kanwie tej decyzji należy dojść do wniosku, iż w ocenie PUODO w przypadku ujawnienia danych osobowych nieuprawnionemu odbiorcy, który nie należy do struktur Administratora, ani też nie pozostaje z Administratorem w stałej relacji biznesowej, istnieje konieczność zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego, albowiem w stosunku w.w. adresata należy przyjąć zasadę ograniczonego zaufania.