Od nowelizacji ustawy Prawo telekomunikacyjne z grudnia 2018 r., która wprowadziła formę dokumentową w umowach telko, minęło już trochę czasu. Tymczasem decyzja Prezesa Urzędu Ochrony Danych Osobowych z 9 grudnia 2020 roku rzuca nowe światło na istniejące, możliwe ryzyka.

Kilka słów o stanie faktycznym sprawy

Sprawa rozstrzygana przez Prezesa UODO dotyczyła co prawda umowy ubezpieczenia, ale wnioski z niej płynące powinny zostać wyciągnięte również przez przedsiębiorców telekomunikacyjnych.

Wszystko zaczęło się od tego, że osoba trzecia otrzymała na swój adres e-mail polisy ubezpieczeniowe nieznanych jej osób i postanowiła dokonać odpowiedniego zgłoszenia tego faktu do UODO. Jak się potem okazało – a co istotne z punktu widzenia niniejszego wpisu – przesłanie przez ubezpieczyciela polis na niewłaściwy adres spowodowane było tym, że to sam ubezpieczający podał błędny adres!

W reakcji na powyższe zgłoszenie, UODO wszczął postępowanie, zwracając się do ubezpieczyciela- TUiR WARTA S.A. o udzielenie stosownych wyjaśnień. W odpowiedzi, TUiR WARTA S.A. wskazało właśnie – niezależnie od innych zarzutów – że do udostępnienia danych osobowych osobie nieuprawnionej doszło z uwagi na to, że to sam klient podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej, zawierający szereg danych osobowych jak imię i nazwisko, adres czy nr PESEL.

Finalnie, argumentacja podniesiona przez ubezpieczyciela nie przekonała UODO. Decyzją z 9 grudnia 2020 roku (sygn., sprawy: DKN.5131.5.2020) nałożono na TUiR WARTA S.A. karę pieniężną w wysokości 85 588 złotych, z tytułu naruszenia przepisów polegających na nie zgłoszeniu, bez zbędnej zwłoki, Prezesowi UODO naruszenia ochrony danych osobowych i nie zawiadomieniu o naruszeniu ochrony danych osobowych osoby, której te dane dotyczą.

Kwestia ochrony danych osobowych a zawarcie umowy w formie dokumentowej

Przedsiębiorcy telekomunikacyjni coraz częściej wdrażają formę dokumentową, jako szybszą i wygodniejszą alternatywę do zawierania lub zmiany umów o  świadczenie usług telekomunikacyjnych. Ograniczenie wydruków czy szybkość takiej formy są niezaprzeczalnymi zaletami dla obydwu stron – tak operatora jak i klienta. Na kanwie powołanej decyzji warto zadać sobie jednak pytanie, czy w toku wymiany korespondencji pomiędzy ISP a operatorem, w której podawane są przecież różnego rodzaju dane osobowe (w tym PESEL), operatorzy dochowują środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych?

Z uwagi na mocno odformalizowany proces zawarcia umowy (możliwe zawarcie/zmianę umowy poprzez wymianę plików pdf za pośrednictwem poczty elektronicznej lub chociażby wiadomość sms), nie trudno jest o przypadkowe udostępnienie danych klienta osobie nieuprawnionej.

Umowa ubezpieczenia podobnie jak umowa o świadczenie usług zawiera istotne z punktu widzenia naruszenia prawa i wolności osób fizycznych dane. Przypadkowe udostępnienie osobie nieuprawnionej w jednej korespondencji takich danych jak imiona i nazwiska, adresy zamieszkania lub korespondencyjne, numery PESEL, numery telefonów, serie i numery dowodów osobistych sprawia, że dochodzi do wysokiego ryzyka naruszenia praw i wolności osób fizycznych, jeżeli dostęp do takich danych nie będzie w korespondencji w żaden sposób chroniony.

Zgodnie z przepisami o ochronie danych osobowych, w przypadku naruszenia ochrony danych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzoru, chyba że jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Jednocześnie, w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu.

Jakie nieprawidłowości zarzucił administratorowi danych Prezes UODO?

Z decyzji Prezesa UODO można wyciągnąć następujące wnioski:

• bez znaczenia powinien pozostawać fakt, czy to klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument z jego danymi osobowymi, czy też do naruszenia doszło z winy pracownika administratora danych. Jaka wynika z tego konkluzja wskazujemy poniżej,
• naruszenie poufności danych dotyczące numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania, numerami telefonów oraz adresami poczty elektronicznej, należy co do zasady wiązać z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, które uzasadnia zawiadomienie o tym Prezesa UODO oraz osoby, której dotyczy naruszenie – UWAGA – nawet jeśli dotyczy to jednej czy dwóch osób,
• to, że do udostępnienia doszło tylko jednej osobie nieuprawnionej, która w dodatku sama zwróciła się do administratora z zawiadomieniem o naruszeniu, nie powinno automatycznie powodować przyjęcia, że ryzyko naruszenia praw i wolności osoby, której dane dotyczą jest niskie i w konsekwencji pozwala na przyjęcie, że ww. zawiadomienia organu nadzoru i osoby, której dane dotyczą nie są konieczne. Oczywistym jest, że skoro ww. okoliczności nie mają zdaniem UODO znaczenia dla uznania, że ryzyko naruszenia praw jest niskie, to należy uznać, że ryzyko jest tym bardziej istotne, jeśli denuncjacji wadliwy adresat nie wykonał,
• niezawiadomienie osób, których dane dotyczą o wystąpieniu naruszenia bez zbędnej zwłoki powoduje, że są oni pozbawieni szybkiej i przejrzystej informacji o naruszeniu i o środkach, które te osoby mogą podjąć w celu zminimalizowania ewentualnych, negatywnych skutków naruszenia.

Zdaniem Prezesa UODO, administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientami pocztę elektroniczną (lub inny podobny środek komunikacji np. EBOK – przyp. aut.) powinien mieć świadomość ryzyk z tym związanych i w celu ich minimalizacji, powinien przedsięwziąć odpowiednie środki organizacyjne i techniczne. Jako przykład organ wymienił weryfikację adresów mailowych wskazywanych przez klientów, czy szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych. Wśród proponowanych rozwiązań można też wymienić przesyłanie hasła do zaszyfrowanych plików innym kanałem komunikacji od tego, którym przesyłane były zaszyfrowane pliki.

O czym jeszcze powinni pamiętać przedsiębiorcy telekomunikacyjni?

Prezes UODO wskazuje również, że istnienie tajemnicy prawnie chronionej podnosi wagę naruszenia i uzasadnia surowszą ocenę. Należy pamiętać, że operatorów wiąże obowiązek ochrony tajemnicy telekomunikacyjnej. Dodatkowo, w ich przypadku powiadomienie Prezesa UODO o naruszeniu powinno nastąpić nie później niż 24 godziny po jego wykryciu (jeśli jest to wykonalne). Obowiązek taki został nałożony na dostawców publicznie dostępnych usług telekomunikacyjnych, a termin ten wynika z art. 2 ust. 2 rozporządzenia Komisji (UE) nr 611/2013. Termin ten jest krótszy niż czas wskazany w RODO – przedsiębiorcy telekomunikacyjni powinni dołożyć wszelkich starań, aby przesłać wymagane prawem informacje w czasie 24, a nie 72 godzin.

Samo w sobie zadenuncjowanie przesłania umowy z danymi klienta na niewłaściwy adres nie musi oznaczać kary. Jak wyinterpretować można z treści decyzji –  kary raczej można spodziewać się za to, że tego rodzaju incydent zostanie zbagatelizowany i ISP nie powiadomi o naruszeniu i jego ryzykach ani osoby, której dane nienależycie zaadresowano ani Prezesa UODO.

Łukasz Bazański     Jarosław Straś