136 tysięcy kary za RODO i niezabezpieczony hasłem załącznik

Prezes UODO poinformował w ubiegłym tygodniu o nałożeniu kary pieniężnej w wysokości ponad 136 tys. zł na ENEA S.A. za brak zgłoszenia naruszenia ochrony danych osobowych.

Co się wydarzyło:
  • pracownik ENEA wysyła maila z załącznikiem, w którym znajdowały się dane osobowe 259 osób-klientów ENEA,
  • załącznik obejmuje takie dane osobowe jak: imię, nazwisko, adres e-mail, nr telefonu, daty zarejestrowania w ENEA,
  • załącznik nie jest zahasłowany,
  • pracownik błędnie wklikuje adres e-mail odbiorcy,
  • maila z ww. załącznikiem otrzymuje przypadkowy odbiorca, który informuje o błędzie nadawcę tego maila,
  • pracownik prosi przypadkowego odbiorcę o usunięcie maila i załącznika oraz złożenie oświadczenia w tym zakresie,
  • przypadkowy odbiorca składa ww. oświadczenie,
  • przypadkowy odbiorca informuje o otrzymanej wiadomości UODO,
  • UODO postanawia wszcząć kontrolę.
Wynik kontroli UODO:
  • mimo że ENEA uzyskała oświadczenie o trwałym usunięciu danych, oraz że w ujawnionych danych nie było nr PESEL, nr dokumentu tożsamości itp. to takie naruszenie należało zgłosić z daleko idącej ostrożności w terminie 72h do Prezesa UODO, ponieważ można było ustalić tożsamość tych osób,
  • ryzyko wykorzystania nawet takiego wąskiego zakresu danych jest wystarczające do następujących naruszeń: utrata przez osoby, których dane dotyczą, kontroli nad ich danymi. Dane te mogą np. posłużyć osobom, które wejdą w ich posiadanie, np. do niechcianych przez osoby, których dane dotyczą, kontaktów poprzez e-mail lub telefon– również takich, w czasie których podjęte zostaną próby uzyskania dodatkowych danych tych osób. Wreszcie, przy wykorzystaniu tych danych mogą zostać założone konta w różnego rodzaju serwisach społecznościowych i portalach internetowych, co może mieć negatywny wpływ na postrzeganie tych osób w ich środowisku zawodowym czy rodzinnym, a nawet prowadzić do ich dyskryminacji.
  • okoliczności i skutki nie muszą się faktycznie zdarzyć, ponieważ wystarczy prawdopodobieństwo ich wystąpienia,
  • ENEA zignorowała komunikat UODO wskazujący, że powinna była zgłosić naruszenie (to oznacza, że po otrzymaniu tego komunikatu mogła zgłosić naruszenie z opóźnieniem),
  • złożenie oświadczenia o usunięciu danych przez przypadkowego odbiorcę nie daje gwarancji, że faktycznie dane zostały usunięte,
  • okoliczności łagodzące: gdy przypadkowym odbiorcom jest ktoś zaufany niewłaściwa osoba w strukturze firmy, ale pracująca w tej firmie czy też kontrahent, z którym stale się współpracuje. W obu tych przypadkach – z uwagi na stałe relacje współpracy – można znać stosowane przez takiego przypadkowego odbiorcę procedury, historię i inne istotne szczegóły dotyczące tego odbiorcy –  wtedy odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania (za: Grupa Robocza art. 29 – wytyczne dot. naruszeń). Taki przypadek obniża poziom ryzyka, ale w sprawie ENEA przypadkowy odbiorca nie był współpracownikiem, pracownikiem czy stałym kontrahentem ENEA. Była to osoba trzecia, zatem okoliczność łagodząca nie zachodzi, a ryzyko naruszenia praw klientów jest wysokie.
Wnioski dla nas:
  1. UODO twierdzi, że jeśli dopuszczamy komunikację z klientami mailowo, to automatycznie wpadamy w ryzyko ujawnienia danych przypadkowemu odbiorcy. Takim przypadkom należy przeciwdziałać np. poprzez wprowadzenie rozwiązań zapewniających hasłowanie załączników. Bierność w tym zakresie uznana będzie przez UODO jako świadomą bierność w stosowanych środkach bezpieczeństwa,
  2. Brak szybkiej reakcji przy tego typu naruszeniach zgodnie z interpretacją przepisów RODO (motyw 85 RODO) może zostać uznany za przyczynienie się do powstania szkody u osób, których dane zostały przypadkowo ujawnione, a to może skutkować pozwem o odszkodowanie, w którym opóźnienie/brak reakcji zostanie potraktowane jako wyrządzenie szkody.
  3. Nawet jeśli uznamy, że w danym przypadku nie doszło do naruszenia a UODO wejdzie z nami w korespondencję, ponieważ w jego ocenie było to naruszenie, to pomimo przekroczenia terminu 72h, naruszenie należy formalnie zgłosić do UODO.
  4. Należy pamiętać o konieczność hasłowania dokumentów zawierających dane osobowe pozwalające na identyfikację osoby, podczas ich wysyłania – zwłaszcza na zewnątrz firmy.
  5. Naruszeniem jest również pomyłka, błąd – nie tylko działanie celowe.

Żródło – pełna treść decyzji do przeczytania tutaj

Autor: dr Paweł Biały