Od nowelizacji ustawy Prawo telekomunikacyjne z grudnia 2018 r., która wprowadziła formę dokumentową w umowach telko, minęło już trochę czasu. Tymczasem decyzja Prezesa Urzędu Ochrony Danych Osobowych z 9 grudnia 2020 roku rzuca nowe światło na istniejące, możliwe ryzyka.
Kilka słów o stanie faktycznym sprawy
Sprawa rozstrzygana przez Prezesa UODO dotyczyła co prawda umowy ubezpieczenia, ale wnioski z niej płynące powinny zostać wyciągnięte również przez przedsiębiorców telekomunikacyjnych.
Wszystko zaczęło się od tego, że osoba trzecia otrzymała na swój adres e-mail polisy ubezpieczeniowe nieznanych jej osób i postanowiła dokonać odpowiedniego zgłoszenia tego faktu do UODO. Jak się potem okazało – a co istotne z punktu widzenia niniejszego wpisu – przesłanie przez ubezpieczyciela polis na niewłaściwy adres spowodowane było tym, że to sam ubezpieczający podał błędny adres!
W reakcji na powyższe zgłoszenie, UODO wszczął postępowanie, zwracając się do ubezpieczyciela- TUiR WARTA S.A. o udzielenie stosownych wyjaśnień. W odpowiedzi, TUiR WARTA S.A. wskazało właśnie – niezależnie od innych zarzutów – że do udostępnienia danych osobowych osobie nieuprawnionej doszło z uwagi na to, że to sam klient podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej, zawierający szereg danych osobowych jak imię i nazwisko, adres czy nr PESEL.
Finalnie, argumentacja podniesiona przez ubezpieczyciela nie przekonała UODO. Decyzją z 9 grudnia 2020 roku (sygn., sprawy: DKN.5131.5.2020) nałożono na TUiR WARTA S.A. karę pieniężną w wysokości 85 588 złotych, z tytułu naruszenia przepisów polegających na nie zgłoszeniu, bez zbędnej zwłoki, Prezesowi UODO naruszenia ochrony danych osobowych i nie zawiadomieniu o naruszeniu ochrony danych osobowych osoby, której te dane dotyczą.
Kwestia ochrony danych osobowych a zawarcie umowy w formie dokumentowej
Przedsiębiorcy telekomunikacyjni coraz częściej wdrażają formę dokumentową, jako szybszą i wygodniejszą alternatywę do zawierania lub zmiany umów o świadczenie usług telekomunikacyjnych. Ograniczenie wydruków czy szybkość takiej formy są niezaprzeczalnymi zaletami dla obydwu stron – tak operatora jak i klienta. Na kanwie powołanej decyzji warto zadać sobie jednak pytanie, czy w toku wymiany korespondencji pomiędzy ISP a operatorem, w której podawane są przecież różnego rodzaju dane osobowe (w tym PESEL), operatorzy dochowują środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych?
Z uwagi na mocno odformalizowany proces zawarcia umowy (możliwe zawarcie/zmianę umowy poprzez wymianę plików pdf za pośrednictwem poczty elektronicznej lub chociażby wiadomość sms), nie trudno jest o przypadkowe udostępnienie danych klienta osobie nieuprawnionej.
Umowa ubezpieczenia podobnie jak umowa o świadczenie usług zawiera istotne z punktu widzenia naruszenia prawa i wolności osób fizycznych dane. Przypadkowe udostępnienie osobie nieuprawnionej w jednej korespondencji takich danych jak imiona i nazwiska, adresy zamieszkania lub korespondencyjne, numery PESEL, numery telefonów, serie i numery dowodów osobistych sprawia, że dochodzi do wysokiego ryzyka naruszenia praw i wolności osób fizycznych, jeżeli dostęp do takich danych nie będzie w korespondencji w żaden sposób chroniony.
Zgodnie z przepisami o ochronie danych osobowych, w przypadku naruszenia ochrony danych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzoru, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Jednocześnie, w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.
Jakie nieprawidłowości zarzucił administratorowi danych Prezes UODO?
Z decyzji Prezesa UODO można wyciągnąć następujące wnioski:
Zdaniem Prezesa UODO, administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientami pocztę elektroniczną (lub inny podobny środek komunikacji np. EBOK – przyp. aut.) powinien mieć świadomość ryzyk z tym związanych i w celu ich minimalizacji, powinien przedsięwziąć odpowiednie środki organizacyjne i techniczne. Jako przykład organ wymienił weryfikację adresów mailowych wskazywanych przez klientów, czy szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych. Wśród proponowanych rozwiązań można też wymienić przesyłanie hasła do zaszyfrowanych plików innym kanałem komunikacji od tego, którym przesyłane były zaszyfrowane pliki.
O czym jeszcze powinni pamiętać przedsiębiorcy telekomunikacyjni?
Prezes UODO wskazuje również, że istnienie tajemnicy prawnie chronionej podnosi wagę naruszenia i uzasadnia surowszą ocenę. Należy pamiętać, że operatorów wiąże obowiązek ochrony tajemnicy telekomunikacyjnej. Dodatkowo, w ich przypadku powiadomienie Prezesa UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013. Termin ten jest krótszy niż czas wskazany w RODO – przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w czasie 24, a nie 72 godzin.
Samo w sobie zadenuncjowanie przesłania umowy z danymi klienta na niewłaściwy adres nie musi oznaczać kary. Jak wyinterpretować można z treści decyzji – kary raczej można spodziewać się za to, że tego rodzaju incydent zostanie zbagatelizowany i ISP nie powiadomi o naruszeniu i jego ryzykach ani osoby, której dane nienależycie zaadresowano ani Prezesa UODO.
Łukasz Bazański Jarosław Straś