Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania

Rodo w praktyce – odpowiedzi na 273 najtrudniejsze pytania
 

Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc

Cena: 128,00 zł

Zamów

Decyzje nakazujące zawiadomienie osoby fizycznej

13-11-2019 Autor: Katarzyna Frelak

W poprzednim numerze „ABI Expert” zostały omówione decyzje Prezesa UODO, które umarzały postępowanie administracyjne, wszczęte na podstawie zgłoszonego przez administratora danych naruszenia. W bieżącym numerze skupimy się na decyzjach, które również są następstwem zgłoszenia przez administratora naruszenia, jednak Prezes UODO nakazał zawiadomienie osoby, której dane dotyczą, o naruszeniu.

 

Decyzja ZWAD.405.9.2018

Stan faktyczny: Przesłano wiadomość e-mail klienta na niewłaściwy adres poczty elektronicznej, w wyniku czego osobie nieuprawnionej zostały ujawnione następujące dane osobowe:

  • imię;
  • nazwisko;
  • adres;
  • numer PESEL;
  • numer polisy;
  • dane pojazdu (w tym numer rejestracyjny i numer VIN);
  • numer propozycji zawarcia ubezpieczenia;
  • okres ubezpieczenia;
  • warunki ubezpieczenia;
  • adres e-mail;
  • data urodzenia;
  • obywatelstwo;
  • historia ubezpieczenia;
  • dane dotyczące prawa jazdy;
  • stan cywilny;
  • fakt posiadania dzieci;
  • miejsce parkowania pojazdu;
  • numer rachunku do wpłaty składki;
  • płeć;
  • wybrany pakiet ubezpieczenia.

Administrator ocenił ryzyko naruszenia praw i wolności osoby, której dane dotyczą, jako średnie i zrezygnował z zawiadomienia osoby o zdarzeniu. Poinformował natomiast Prezesa UODO o naruszeniu. Wskazał również na zastosowane środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka, tj. skierowanie do niewłaściwego odbiorcy ponownej wiadomości e-mail, informującej o:

  • konieczności usunięcia wiadomości elektronicznej,
  • poufności danych zawartych w tej wiadomości,
  • zakazie jej wykorzystywania,
  • potwierdzeniu usunięcia wiadomości (nie otrzymano potwierdzenia usunięcia).

Ta wiadomość nie została jednak doręczona. Prezes UODO skierował do administratora wystąpienie, w którym wezwał do zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych oraz przekazania tej osobie zaleceń odnośnie do zminimalizowania potencjalnych negatywnych skutków zaistniałego naruszenia.
Administrator zwrócił się o ponowne rozważenie stanowiska przez Prezesa UODO, ponieważ w jego ocenie w przedmiotowym przypadku nie występowało wysokie ryzyko naruszenia praw i wolności osoby oraz nie istniało wysokie prawdopodobieństwo negatywnych skutków dla osoby, której dane dotyczą, poprzez nieuprawnione wykorzystanie jej danych. W związku z niezastosowaniem się administratora do zaleceń Prezes UODO wszczął postępowanie administracyjne. Administrator – po wszczęciu postępowania – zawiadomił osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych i przekazał zanonimizowaną treść zawiadomienia do Prezesa UODO.

 

Decyzja Prezesa UODO: Decyzja nakazująca administratorowi, bez zbędnej zwłoki, ponowne zawiadomienie osoby, której dane dotyczą, o naruszeniu, zgodnie z art. 34 ust. 2 w związku z art. 33 lit. c i d rodo.

 

Uzasadnienie: Zawiadomienie dokonane przez administratora w ocenie Prezesa UODO nie było prawidłowe, ponieważ nie zawierało dostatecznego opisu możliwych negatywnych konsekwencji naruszenia ochrony danych osobowych, na jakie może być narażona osoba, której dane dotyczą (w celu zabezpieczenia się przed negatywnymi skutkami naruszenia) oraz proponowanych przez administratora środków w celu zminimalizowania negatywnych skutków naruszenia.

 

[...]

 

Autorka jest inspektorem ochrony danych, członkiem korpusu służby cywilnej.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.