Naruszenie ochrony danych osobowych polegające na udostępnieniu osobie trzeciej przez spółkę, w wiadomość e-mail, danych osobowych klienta zawartych w umowie.

W niniejszym artykule zostanie poruszona kwestia związana z brakiem terminowego zawiadomienia organu nadzorczego oraz osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz skutków jakie mogą się wiązać z tego typu zachowaniem administratora.

UODO, w ostatnim czasie stwierdził naruszenie przepisów prawa telekomunikacyjnego, polegające na niezawiadomieniu organu nadzorczego o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia oraz braku niezwłocznego powiadomienia o naruszeniu danych osobowych osoby, której dotyczyło naruszenie, i w związku z tym nałożył na przedsiębiorcę karę pieniężną w wysokości 250 tys. złotych. 

W ocenie UODO, na wysokość ww. kary pieniężnej wpływ miał zarówno zakres naruszenia, czas jego trwania, jak i skutki jakie spółka spowodowała ww. naruszeniem, albowiem, powyższe naruszenie mogło wywrzeć niekorzystny wpływ na prawa osoby, której dane dotyczą, w szczególności mogło skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, czy naruszeniem dóbr osobistych.

UODO zwraca uwagę na to jak ważne, jest umożliwienie podjęcia niezbędnych działań zapobiegawczych w celu ochrony praw lub wolności przed negatywnymi skutkami naruszenia.

STAN FAKTYCZNY 

Urząd Ochrony Danych Osobowych został poinformowany o naruszeniu danych osobowych przez osobę trzecią, która zgłosiła, że jest nieuprawnionym odbiorcą zestawu dokumentów dotyczących zawarcia umowy. W związku z czym, UODO zwrócił się do spółki o udzielenie informacji na temat naruszenia danych osobowych. Spółka wyjaśniła, że podczas procesu zawarcia umowy została wygenerowana wiadomość e-mail zawierająca kopię umowy wraz z załącznikami, a następnie została ona wysłana na adres wskazany przez klienta. Wymaga podkreślenia, że osoba, której dane dotyczą zwróciła do spółki, z informacją, iż adres e-mail wskazany w umowie jest błędny i poprosiła o jego usunięcie, a spółka miała możliwości techniczne, aby zapobiec powyższemu naruszeniu.

Natomiast przedsiębiorca nie dopatrzył się podstaw do traktowania powyżej opisanego zdarzenia jako naruszenia danych osobowych i nie zgłosił naruszenia do UODO oraz nie powiadomił osoby, której dane dotyczą. Do zgłoszenia naruszenia danych osobowych doszło dopiero na skutek otrzymania zawiadomienia od UODO o wszczęciu postępowania administracyjnego w sprawie naruszenia danych osobowych. Natomiast zgodnie z prawem telekomunikacyjnym administrator:

• zawiadamia organ nadzorczy o naruszeniu danych osobowych w terminie 24 godzin od wykrycia naruszenia; 
• oraz niezwłocznie po wykryciu naruszenia zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego. 

UODO w swojej decyzji zwraca uwagę, że w przypadku obowiązku zawiadomienia organu nadzorczego jak i obowiązku powiadomienia abonenta ważny jest moment wykrycia naruszenia, albowiem uznaje się, że do wykrycia naruszenia ochrony danych osobowych, dochodzi wówczas, gdy dostawca uzyskał wystarczającą wiedzę o zaistnieniu zdarzenia naruszającego ochronę, które doprowadziło do naruszenia ochrony danych osobowych.

W przedmiotowej sprawie administrator uzyskał informację dwukrotnie: po raz pierwszy, kiedy to sam klient zwrócił się do administratora z informacją, iż adres e-mail wskazany przez niego podczas procesu podpisania umowy jest błędny i poprosił o jego usunięcie oraz po raz drugi, gdy administrator odebrał pismo od UODO wzywające do złożenia wyjaśnień dotyczących naruszenia ochrony danych osobowych polegającego na umożliwieniu nieuprawnionej osobie trzeciej wglądu do zestawu dokumentów. W ocenie UODO uzyskanie pierwszej z ww. informacji było wystarczające do wykrycia naruszenia ochrony danych osobowych. Natomiast spółka zawiadomiła organ nadzorczy oraz abonenta o naruszeniu ochrony danych osobowych dopiero po wszczęciu postępowania administracyjnego w przedmiotowej sprawie i po dokonaniu wglądu w akta sprawy.

Podsumowując, spółka zarówno nie zawiadomiła UODO o naruszeniu ochrony danych osobowych w terminie wynikającym z przepisów prawa, ale również nie wypełniła obowiązku powiadomienia osoby, której dane dotyczą, bez zbędnej zwłoki,  o ww. naruszeniu, co jednoznacznie przełożyło się na wydaną przez UODO decyzję.