Uwaga! 85 tys. zł kary za wysłanie danych osobowych na błędny adres e-mail

Karę od UODO dostało towarzystwo ubezpieczeniowe. Na pierwszy rzut oka wygląda na bardzo surową, ale istotne były pełne okoliczności sprawy, a zwłaszcza błędna według UODO ocena wagi incydentu. Ta kara jest ciekawa z jeszcze jednego powodu. Codziennie setki osób dostają od różnych firm pisma, formularze i dane innych klientów. Bo ktoś (zazwyczaj ten klient, którego dane otrzymuje przypadkowa osoba) pomylił się w adresie e-mail.

 

Mail trafił na błędny adres e-mail podany przez Klienta!

Do Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,UODO”, dnia […] maja 2020 r. wpłynęła informacja o naruszeniu ochrony danych osobowych. Naruszenie polegało  na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego (P. U. J. K. z siedzibą w O.), będącego podmiotem przetwarzającym dla TUiR WARTA S.A. z siedzibą w W., zwanej dalej również ,,Spółką”, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata, w wyniku czego doszło do naruszenia poufności

W mediach (Niebezpiecznik.pl)  szybko pojawiły się informacje o karze  “za RODO” – w kwocie  85588 zł i dostało ją Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A. Okoliczności sprawy na pierwszy rzut oka nie były skomplikowane. Polisa ubezpieczeniowa została wysłana przez agenta pocztą elektroniczną do niewłaściwego adresata. W wyniku tego osoba nieuprawniona otrzymała dane innych osób dotyczące imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy ubezpieczenia.

Istotne w tej sprawie były następujące okoliczności:

  1. zgłoszenie trafiło do UODO ze strony adresata korespondencji, a nie ze strony towarzystwa ubezpieczeniowego;
  2. klient sam podał błędny adres poczty elektronicznej i to było przyczyną incydentu.

To był błąd klienta. Czy to bez znaczenia?

Skoro to klient zrobił błąd, to czy można coś zarzucić firmie ubezpieczeniowej? W ten sposób przecież każdy klient, mógłby celowo i złośliwie grać “na karę” dla firmy której nie lubi. Po prostu celowo podaje złe dane (np. kolegi) a potem czeka aż kolega zgłosi sprawę do UODO. Tu trzeba wyjaśnić, że przyczyna naruszenia nie zmienia faktu jego zaistnienia. Dane trafiły do osoby nieuprawnionej więc zgodnie z przepisami było naruszenie. To nie podlega dyskusji.

Na stwierdzeniu naruszenia nie można jednak skończyć. Po incydencie należy ocenić, czy miał on wpływ na prawa i wolności osoby, której dane dotyczyły. To z kolei wpływa na ewentualne powiadomienie o sprawie UODO (jeśli ryzyko dla osoby fizycznej nie było znikome) oraz na konieczność powiadomienia osoby, której dane dotyczą (jeśli ryzyko było duże).

Spółka przyjęła brak wysokiego prawdopodobieństwa negatywnych skutków incydentu – gdyż skierowała do nieuprawnionego odbiorcy prośbę o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie. Warta założyła też, że skoro nieuprawniony odbiorca sam zwrócił się do niej z zawiadomieniem o zdarzeniu to był świadomy wagi sprawy i raczej nie powinien zrobić nic złego.

UODO natomiast pochylił się nad tym, czy nieuprawnionemu odbiorcy można ufać?

Czy to był “zaufany odbiorca”?

UODO sam w decyzji przyznał, że ryzyko związane z takim zdarzeniem może być różnicowane na podstawie uznania odbiorcy za “zaufanego”. Mówią o tym wytyczne Grupy Roboczej Art. 29. Tylko, że według wytycznych bycie odbiorcą zaufanym może oznaczać, że np. ten odbiorca jest innym działem danej organizacji albo np. dostawcą, z którego usług administrator stale korzysta. Taki “zaufany” odbiorca to ktoś, kogo historie i procedury administrator w jakimś stopniu zna. W tym przypadku wg UODO odbiorca “zaufany” nie był. Można więc zażartować, że jeśli nie wiemy kim jest odbiorca, domyślnie powinniśmy wyobrażać go sobie jako człowieka w kominiarce.

Mówiąc całkiem poważnie, według UODO w tym przypadku nie było mowy o “zaufanym” odbiorcy i spółka powinna się zachować w taki sposób, jak zawsze gdy dojdzie do ujawnienia osobie nieuprawnionej takiego katalogu danych (nazwiska, PESEL-e, pojazdy itd.). Ryzyko powinno być ocenione jako duże, sprawa powinna być zgłoszona do UODO i powinna być zgłoszona osobie, której dane dotyczyły. UODO zaś dowiedział się o sprawie od nieuprawnionego adresata (ups!), a zgłoszenie sprawy osobom, których dane dotyczyły, nastąpiło dopiero po uruchomieniu postępowania administracyjnego (drugie ups!). Dlatego Urząd uznał, że zastosuje karę, licząc też pewnie na to, aby wysłać sygnał do innych firm, z których — patrząc po mailach jakie spływają na redakcyjną skrzynkę — codziennie spotyka się z takimi samymi sytuacjami. Powodem nałożenia kary oficjalnie jest niespełnienie obowiązków związanych z poinformowaniem o incydencie UODO oraz osoby, której dane dotyczyły.

Jeśli interesują was szczegóły, zajrzyjcie do decyzji UODO – DKN.5131.5.2020

Wpływ na inne firmy

Tę karę zapłaci Warta, ale wielu administratorów danych może z niej wyciągnąć bardzo cenną lekcję. Lepiej zgłaszać WSZYSTKO. W przywołanej wyżej decyzji UODO przypomniał wytyczne Grupy Roboczej Art. 29, w których stwierdzono, że

“w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”

Dane z UODO pokazują, że zwykle pierwszą rzeczą jaką robią administratorzy jest próba wytłumaczenia sobie, że wyciek nie był taki straszny. Czasami wymówki są mocno naciągane. W naszej redakcyjnej praktyce spotkaliśmy się z ciekawym przypadkiem z takiej kategorii.

Pewien szpital miał kiepskie pseudo-zabezpieczenie danych. Z logów serwera wynikało, że dostęp do danych uzyskały dwie osoby – ktoś, kto nas o tym powiadomił oraz ktoś inny (prawdopodobnie redaktor Niebezpiecznika, ale to nie było pewne). Szpital dowiedział się o incydencie od nas. W związku z tym dostaliśmy od szpitala żądanie przedstawienia oświadczenia o tym, że to my byliśmy “tą drugą osobą” oraz że to co zrobiliśmy może być uznane za niezamówiony test bezpieczeństwa. To było kuriozalne. Oświadczenia nie przekazaliśmy i poradziliśmy szpitalowi, aby nie brał przy ocenie ryzyka, że to my zaglądaliśmy do danych (a czy to byliśmy my…. któż to wie?).

Podobny był przypadek Freshmaila, który także zakładał, że to my uzyskaliśmy dostęp do danych, więc nie było tak źle. Trzeba jednak przyznać, że Freshmail powiadomił o sprawie UODO.

Korci nas również, by przypomnieć sprawę firmy OCHNIK, która niby powiadomiła o wycieku, ale tak jakby nie. Firma ta próbowała również zobowiązywać klientów do zachowania w tajemnicy informacji o wycieku, co nigdy nie jest dobrym pomysłem.

Na koniec, drodzy administratorzy danych osobowych, dajcie znać w komentarzach (anonimowo) ile kar byście dostali, gdyby UODO dowiedziało się o tym, ilu naruszeń nie zgłosiliście. I zapamiętajcie: wygląda na to, że lepiej zgłaszać więcej niż mniej.


Treść decyzji:

DKN.5131.5.2020

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256 z późn. zm.), art. 7 ust. 1 oraz art. 60, art. 101 i art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781),  a także art. 57 ust. 1 lit. a), art. 58 ust. 2 lit. i), art. 83 ust. 1–3 i art. 83 ust. 4 lit. a) w związku  z art. 33 ust. 1 oraz art. 34 ust. 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej również „rozporządzeniem 2016/679”, po przeprowadzeniu postępowania administracyjnego w sprawie braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie przez TUiR WARTA S.A. z siedzibą w W., Prezes Urzędu Ochrony Danych Osobowych,

stwierdzając naruszenie przez TUiR WARTA S.A. z siedzibą w W. przepisów:

1. art. 33 ust. 1 rozporządzenia 2016/679, polegającego na nie zgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia,

2. art. 34 ust. 1 rozporządzenia 2016/679, polegającego na nie zawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,

nakłada na TUiR WARTA S.A. z siedzibą w W. karę pieniężną w wysokości 85 588 złotych (słownie: osiemdziesiąt pięć tysięcy pięćset osiemdziesiąt osiem złotych).

Uzasadnienie

 Do Urzędu Ochrony Danych Osobowych, zwanego dalej również ,,UODO”, dnia […] maja 2020 r. wpłynęła informacja o naruszeniu ochrony danych osobowych. Naruszenie polegało  na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego (P. U. J. K. z siedzibą w O.), będącego podmiotem przetwarzającym dla TUiR WARTA S.A. z siedzibą w W., zwanej dalej również ,,Spółką”, polisy ubezpieczeniowej zawierającej dane osobowe do nieuprawnionego adresata, w wyniku czego doszło do naruszenia poufności danych dwóch osób w zakresie imion, nazwisk, adresów zamieszkania lub korespondencyjnych, numerów PESEL, numerów telefonów, adresów poczty elektronicznej oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy), zakresu ubezpieczenia, płatności, cesji, a także dodatkowych zapisów wynikających z umowy. O naruszeniu ochrony danych osobowych organ nadzorczy został poinformowany przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów zawierających ww. dane osobowe.

W związku z powyższym, w dniu […] czerwca 2020 r. Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również ,,Prezesem UODO”, na podstawie art. 58 ust. 1 lit. a) i e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia  27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), zwanego dalej również „rozporządzeniem 2016/679”, zwrócił się do Spółki o wyjaśnienie, czy  w związku z wysyłką korespondencji elektronicznej do nieuprawnionego odbiorcy została dokonana analiza pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO (art. 33 ust. 1 i 3 rozporządzenia 2016/679) oraz osób, których dotyczy naruszenie (art. 34 ust. 1 i 2 rozporządzenia 2016/679). W piśmie Prezes UODO wskazał Spółce, w jaki sposób może dokonać zgłoszenia naruszenia oraz wezwał do złożenia wyjaśnień w terminie 7 dni od dnia otrzymania pisma.

W odpowiedzi na powyższe, Spółka pismem z dnia […] lipca 2020 r. potwierdziła,  że naruszenie ochrony danych osobowych polegające na udostępnieniu danych osobowych nieuprawnionemu odbiorcy miało miejsce. Ponadto, Spółka wskazała, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. Na jej podstawie Spółka uznała, iż nie doszło do naruszenia skutkującego koniecznością zawiadomienia Prezesa UODO, ponieważ:

1. klient sam podał błędny adres poczty elektronicznej, na który został wysłany dokument polisy ubezpieczeniowej,
2. nieuprawniony odbiorca zwrócił się do Spółki, a więc można wnioskować, iż jest on świadomy przepisów i wagi informacji, jakie otrzymał.

W oparciu o powyższe argumenty, Spółka przyjęła brak wysokiego prawdopodobieństwa negatywnych skutków dla osób, których dane dotyczą, poprzez nieuprawnione wykorzystanie ich danych oraz wskazała na zastosowany środek naprawczy w postaci skierowania do nieuprawnionego odbiorcy prośby o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.

W związku z ww. pismem, z uwagi na zawartą w nim oceną ryzyka naruszenia praw  i wolności osób, których dane dotyczą, Prezes UODO w piśmie z dnia […] sierpnia 2020 r. wskazał Spółce, iż zgodnie z art. 4 pkt 12 rozporządzenia 2016/679, naruszenie ochrony danych osobowych jest to „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”. Prezes UODO zaznaczył również, że z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność. W związku z powyższym, fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał agentowi nieprawidłowy adres mailowy, nie może mieć wpływu na ocenę tego zdarzenia i zakwalifikowanie go jako naruszenia ochrony danych osobowych. Jego skutkiem jest bowiem udostępnienie danych osobowych osobie nieuprawnionej, co oznacza, iż doszło do naruszenia poufności danych. Co więcej, z uwagi na to, że wskazane naruszenie poufności danych dotyczy numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania, numerami telefonów oraz adresami poczty elektronicznej, to należy uznać, że może ono wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Jednocześnie Prezes UODO ponownie wezwał Spółkę do wykonania analizy pod kątem ryzyka naruszenia praw i wolności osób fizycznych niezbędnej do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie oraz przesłania wyjaśnień w terminie 7 dni od dnia doręczenia pisma.

W odpowiedzi z dnia […] września 2020 r. Spółka ponownie wskazała, że w jej ocenie  w przedmiotowym przypadku nie wystąpiło wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą, ponieważ dane zostały ujawnione tylko nieuprawnionemu obiorcy, który sam zwrócił się do Spółki z zawiadomieniem o zdarzeniu, co pokazuje, że jest świadomy przepisów  i wagi informacji, które otrzymał. W związku z tym, prawdopodobieństwo posłużenia się tymi informacjami w sposób nieuprawniony lub wyrządzenia innej szkody, jest w ocenie Spółki niskie. Na dowód powyższego Spółka przedstawiła wypełniony formularz do oceny ryzyka oraz korespondencję z nieuprawnionym odbiorcą, w której skierowano do niego prośbę o trwałe usunięcie wiadomości.

Wobec braku zgłoszenia naruszenia ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych oraz braku zawiadomienia o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie, w dniu […] października 2020 r. Prezes UODO wszczął wobec Spółki postępowanie administracyjne (sygnatura pisma: […]).

Po wszczęciu postępowania administracyjnego w niniejszej sprawie, w dniu […] października 2020 r. Spółka zgłosiła Prezesowi UODO naruszenie ochrony danych osobowych, przesyłając formularz zawierający szczegółowy opis zdarzenia (sygnatura administratora […]).  W formularzu znajdowała się także informacja o tym, że […] października 2020 r. Spółka zawiadomiła dwie osoby, których dane dotyczą, o naruszeniu ochrony danych osobowych oraz zanonimizowana treść zawiadomienia.

Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył co następuje:

Art. 33 ust. 1 i 3 rozporządzenia 2016/679 stanowią, że w przypadku naruszenia ochrony danych osobowych, administrator danych bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej: a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Z kolei art. 34 ust. 1 rozporządzenia 2016/679 wskazuje, że w sytuacji wysokiego ryzyka dla praw i wolności osób fizycznych wynikających z naruszenia ochrony danych osobowych, administrator jest zobowiązany bez zbędnej zwłoki zawiadomić osobę, której dane dotyczą, o naruszeniu. Zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, prawidłowe zawiadomienie powinno:

a) jasnym i prostym językiem opisywać charakter naruszenia ochrony danych osobowych;
b) zawierać przynajmniej informacje i środki, o których mowa w art. 33 ust. 3 lit. b), c)  i d) rozporządzenia 2016/679, tj.:
c) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
d) opis możliwych konsekwencji naruszenia ochrony danych osobowych;
e) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków  w celu zminimalizowania jego ewentualnych negatywnych skutków.

Podkreślić należy, że naruszenie poufności danych, jakie wystąpiło w przedmiotowej sprawie, w związku z naruszeniem ochrony danych osobowych polegającym na przesłaniu polisy ubezpieczeniowej do nieuprawnionego odbiorcy, w szczególności danych dotyczących numerów PESEL wraz z imionami i nazwiskami, adresami zamieszkania lub korespondencyjnymi, numerami telefonów, adresami mailowymi oraz informacji o przedmiocie ubezpieczenia (samochód osobowy), zakresie ubezpieczenia, płatności, cesji, a także dodatkowych zapisach wynikających  z umowy, powoduje wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jak wskazuje Grupa Robocza Art. 29 w wytycznych dotyczących zgłaszania naruszeń ochrony danych osobowych zgodnie z rozporządzeniem 2016/679, zwanych dalej również ,,wytycznymi”: „Ryzyko to istnieje w przypadku, gdy naruszenie może prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone. Przykłady takich szkód obejmują dyskryminację, kradzież lub sfałszowanie tożsamości, straty finansowe i naruszenie dobrego imienia”. Nie ulega wątpliwości, że przywołane w wytycznych przykłady szkód mogą wystąpić w omawianym przypadku. Nie bez znaczenia dla takiej oceny jest możliwość łatwej  w oparciu o ujawnione dane identyfikacji osób, których dane zostały objęte naruszeniem.  W konsekwencji oznacza to, że występuje wysokie ryzyko naruszenia praw i wolności osób objętych przedmiotowym naruszeniem, co z kolei skutkuje powstaniem po stronie Spółki obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, zgodnie z art. 33 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 33 ust. 3 rozporządzenia 2016/679 oraz zawiadomienia tych osób o naruszeniu zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, w którym muszą się znaleźć informacje określone w art. 34 ust. 2 rozporządzenia 2016/679.

Dla powyższej oceny nie ma wpływu fakt zwrócenia się z prośbą do niewłaściwego odbiorcy o trwałe usunięcie otrzymanej korespondencji. Nie ma bowiem pewności, że przed tymi czynnościami osoba ta nie wykonała np. kserokopii lub też nie utrwaliła zawartych w treści dokumentu danych osobowych w inny sposób, np. poprzez ich spisanie. Samo usunięcie korespondencji nie daje zatem żadnych gwarancji, że intencje takiej osoby obecnie  lub w przyszłości nie zmienią się, a ewentualne konsekwencje posłużenia się takimi kategoriami danych mogą być znaczące dla osób, których dane objęte zostały naruszeniem. To samo dotyczy ewentualnego oświadczenia o zniszczeniu otrzymanej korespondencji, bowiem Spółka nie ma możliwości jego faktycznej weryfikacji. W wytycznych Grupy Roboczej Art. 29 stwierdzono: ,,To, czy administrator wie, że dane osobowe znajdują się w rękach osób, których zamiary są nieznane lub które mogą mieć złe intencje, może mieć znaczenie dla poziomu potencjalnego ryzyka. Może nastąpić naruszenie dotyczące poufności danych polegające na omyłkowym ujawnieniu danych osobowych stronie trzeciej, zgodnie z definicją w art. 4 pkt 10, lub innemu odbiorcy. Może to nastąpić na przykład w sytuacji, gdy dane osobowe zostaną przypadkowo wysłane do niewłaściwego działu organizacji lub do organizacji dostawców, z której usług powszechnie się korzysta. Administrator może wezwać odbiorcę do zwrotu albo bezpiecznego zniszczenia otrzymanych danych. W obu przypadkach – z uwagi na fakt, że administrator pozostaje z tymi podmiotami w stałych stosunkach i może znać stosowane przez nie procedury, ich historię i inne istotne szczegóły ich dotyczące – odbiorcę można uznać za „zaufanego”. Innymi słowy, administrator może ufać odbiorcy na tyle, aby móc racjonalnie oczekiwać, że strona ta nie odczyta omyłkowo wysłanych danych lub nie uzyska do nich wglądu oraz że wypełni polecenie ich odesłania”. W przedmiotowej sprawie nie ma jednak podstaw, by nieuprawnionego odbiorcę uznać i traktować jako „odbiorcę zaufanego”. Ponadto, Grupa Robocza Art. 29 w wytycznych wyraźnie wskazuje, że ,,w przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna”.

Bez znaczenia jest również fakt, że w niniejszej sprawie do naruszenia ochrony danych osobowych doszło z uwagi na to, że to sami klienci Spółki podali błędny adres poczty elektronicznej, na który miała zostać przesłana polisa. Dane zostały bowiem udostępnione nieuprawnionemu adresatowi, co oznacza, że nastąpiło naruszenie bezpieczeństwa prowadzące do nieuprawnionego ujawnienia danych osobowych, a zakres tych danych przesądza o tym, że wystąpiło wysokie ryzyko naruszenia praw i wolności osób fizycznych. Podkreślić jednocześnie należy, że administrator danych dopuszczający możliwość wykorzystania do komunikacji z klientem pocztę elektroniczną powinien mieć świadomość ryzyk związanych np. z nieprawidłowym podaniem przez klienta adresu poczty elektronicznej i w celu ich minimalizacji przedsięwziąć odpowiednie środki organizacyjne i techniczne, jak np. weryfikacja podanego adresu, czy też szyfrowanie przesyłanych w ten sposób dokumentów. Jak wynika ze złożonego po wszczęciu postępowania administracyjnego zgłoszenia naruszenia ochrony danych osobowych (sygnatura administratora […]), środki te nie funkcjonowały w sposób prawidłowy, skoro administrator danych w pkt 9B ww. zgłoszenia, w celu zminimalizowana ryzyka ponownego wystąpienia naruszenia, zdecydował się na przeprowadzenie z agentem rozmowy oraz przeszkolenie pracowników placówki agencyjnej, które uwzględnią konieczność szyfrowania korespondencji elektronicznej kierowanej do klientów oraz konieczność zwracania uwagi na poprawność podawanych przez klienta danych kontaktowych.

Co więcej, naruszenie wiąże się również, zgodnie z art. 35 ust. 1 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. 2020 poz. 895, z późn. zm.), z naruszeniem tajemnicy ubezpieczeniowej, co wyraźnie podnosi wagę naruszenia i uzasadnia jego surowszą ocenę.

W sytuacji, gdy na skutek naruszenia ochrony danych osobowych, występuje wysokie ryzyko naruszenia praw i wolności osób fizycznych administrator zobowiązany jest wdrożyć wszelkie odpowiednie środki techniczne i organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy, a w przypadkach wysokiego ryzyka naruszenia praw i wolności również osoby, których dane dotyczą. Administrator powinien zrealizować przedmiotowy obowiązek możliwie najszybciej.

W motywie 85 preambuły rozporządzenia 2016/679 wyjaśniono: „Przy braku odpowiedniej  i szybkiej reakcji naruszenie ochrony danych osobowych może skutkować powstaniem uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. Dlatego natychmiast po stwierdzeniu naruszenia ochrony danych osobowych administrator powinien zgłosić je organowi nadzorczemu bez zbędnej zwłoki, jeżeli to wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, chyba że administrator jest w stanie wykazać zgodnie z zasadą rozliczalności, że jest mało prawdopodobne, by naruszenie to mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych. Jeżeli nie można dokonać zgłoszenia w terminie 72 godzin, zgłoszeniu powinno towarzyszyć wyjaśnienie przyczyn opóźnienia, a informacje mogą być przekazywane stopniowo, bez dalszej zbędnej zwłoki”.

Z kolei w motywie 86 preambuły rozporządzenia 2016/679 wyjaśniono: „Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej osobie podjęcie niezbędnych działań zapobiegawczych. Informacja taka powinna zawierać opis charakteru naruszenia ochrony danych osobowych oraz zalecenia dla danej osoby fizycznej co do minimalizacji potencjalnych niekorzystnych skutków. Informacje należy przekazywać osobom, których dane dotyczą, tak szybko, jak jest to rozsądnie możliwe, w ścisłej współpracy z organem nadzorczym, z poszanowaniem wskazówek przekazanych przez ten organ lub inne odpowiednie organy, takie jak organy ścigania. (…)”.

Spółka podejmując zatem decyzję o zawiadomieniu o naruszeniu organu nadzorczego, jak  i osób, których dane dotyczą, dopiero po wszczęciu postępowania administracyjnego (pomimo,  że informacja o zdarzeniu została jej przesłana […] maja 2020 r. przez nieuprawnionego odbiorcę),  w praktyce pozbawiła te osoby, przekazanej bez zbędnej zwłoki, rzetelnej informacji o naruszeniu  i możliwości przeciwdziałania potencjalnym szkodom. Tymczasem rolą zawiadomienia osób  o naruszeniu ich danych osobowych jest przede wszystkim zapewnienie osobom, których dane dotyczą – szybkiej i przejrzystej informacji o naruszeniu ochrony ich danych osobowych wraz  z opisem możliwych konsekwencji naruszenia ochrony danych osobowych oraz środków, które mogą one podjąć w celu zminimalizowania jego ewentualnych negatywnych skutków.

W konsekwencji należy stwierdzić, że Spółka dokonała zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu po upływie terminu określonego w art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomiła bez zbędnej zwłoki osób, których dane dotyczą,  o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Spółkę tych przepisów.

Zgodnie z art. 58 ust. 2 lit. i) rozporządzenia 2016/679, każdemu organowi nadzorczemu przysługuje uprawnienie do zastosowania, oprócz lub zamiast innych środków naprawczych przewidzianych w art. 58 ust. 2 rozporządzenia 2016/679, administracyjnej kary pieniężnej na mocy art. 83 rozporządzenia 2016/679, zależnie od okoliczności konkretnej sprawy. Prezes UODO stwierdza, że w rozpatrywanej sprawie zaistniały przesłanki uzasadniające nałożenie na Spółkę administracyjnej kary pieniężnej w oparciu o art. 83 ust. 4 lit. a) rozporządzenia 2016/679 stanowiący m.in., że naruszenie obowiązków administratora, o których mowa w art. 33 i 34 rozporządzenia 2016/679, podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Stosownie do treści art. 83 ust. 2 rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a) – h) oraz lit. j) rozporządzenia 2016/679. Decydując o nałożeniu na Spółkę administracyjnej kary pieniężnej Prezes UODO – stosownie do treści  art. 83 ust. 2 lit. a) – k) rozporządzenia 2016/679 – wziął pod uwagę następujące okoliczności sprawy, stanowiące o konieczności zastosowania w niniejszej sprawie tego rodzaju sankcji oraz wpływające obciążająco na wymiar nałożonej kary pieniężnej:

a) Charakter i waga naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Stwierdzone w niniejszej sprawie naruszenie ma znaczną wagę i poważny charakter, ponieważ może doprowadzić do szkód majątkowych lub niemajątkowych dla osób, których dane zostały naruszone, a prawdopodobieństwo ich wystąpienia jest wysokie.

Czas trwania naruszenia (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

Za okoliczność obciążającą Prezes UODO uznaje długi czas trwania naruszenia.  Od powzięcia przez Spółkę informacji o naruszeniu ochrony danych osobowych ([…] maja  2020 r.) do wywiązania się przez nią z obowiązków, o których mowa w art. 33 i 34 rozporządzenia 2016/679, upłynęło pięć miesięcy, w trakcie których ryzyko naruszenia praw lub wolności osób dotkniętych naruszeniem mogło się zrealizować, a czemu osoby te nie mogłyby przeciwdziałać ze względu na niewywiązanie się przez Spółkę z obowiązku powiadomienia ich o naruszeniu.

b) Umyślny charakter naruszenia (art. 83 ust. 2 lit. b rozporządzenia 2016/679).

Spółka podjęła świadomą decyzję, by początkowo nie zawiadamiać o naruszeniu Prezesa UODO, jak i osób, których dane dotyczą, pomimo powzięcia informacji o zdarzeniu od nieuprawnionego odbiorcy oraz kierowanych do niej pism Prezesa UODO wskazujących na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie.  Należy w tym miejscu podkreślić, że w przeszłości –  w przypadku naruszeń zbliżonych lub podobnych do omawianego – Spółka zgłaszała je Prezesowi UODO, a więc miała świadomość, że również i tym razem powinna zrealizować ten obowiązek.

c) Stopień odpowiedzialności administratora z uwzględnieniem środków technicznych  i organizacyjnych wdrożonych przez niego na mocy art. 25 i 32 (art. 83 ust. 2 lit. d rozporządzenia 2016/679).

Stwierdzone naruszenie miało związek z brakiem wdrożenia lub nieprawidłowym wdrożeniem przez Spółkę środków organizacyjnych i technicznych zapewniających bezpieczeństwo danych, tj. weryfikacji adresów mailowych wskazywanych przez klientów czy szyfrowania plików zawierających dane osobowe, które są przesyłane w wiadomościach elektronicznych.

d) Stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f rozporządzenia 2016/679).

W niniejszej sprawie Prezes UODO uznał za niezadowalającą współpracę z nim ze strony Spółki. Ocena ta dotyczy reakcji Spółki na pisma Prezesa UODO wskazujące na możliwość zaistnienia w niniejszej sprawie wysokiego ryzyka naruszenia praw lub wolności osób, których dotyczyło naruszenie. Prawidłowe w ocenie Prezesa UODO działania (zgłoszenie naruszenia Prezesowi UODO i zawiadomienie o nim osób, których dotyczyło naruszenie) Spółka podjęła dopiero na skutek formalnego wszczęcia przez Prezesa UODO postępowania administracyjnego w sprawie.

e) Kategorie danych osobowych, których dotyczyło naruszenie (art. 83 ust. 2 lit. g rozporządzenia 2016/679).

Dane osobowe udostępnione osobie nieuprawnionej nie należą do szczególnych kategorii danych osobowych, o których mowa w art. 9 rozporządzenia 2016/679, jednakże ich szeroki zakres (imiona i nazwiska, adresy zamieszkania lub korespondencyjne, numery PESEL, numery telefonów, adresy poczty elektronicznej oraz informacje dotyczące przedmiotu ubezpieczenia – samochodu osobowego, zakresu ubezpieczenia, płatności, cesji, a także dodatkowe zapisy wynikające z umowy), wiąże się z wysokim ryzykiem naruszenia praw  i wolności osób fizycznych.

f) Sposób w jaki organ nadzorczy dowiedział się o naruszeniu (art. 83 ust. 2 lit. h rozporządzenia 2016/679).

O naruszeniu ochrony danych osobowych stanowiących przedmiot niniejszej sprawy, to jest o udostępnieniu osobie nieuprawnionej danych osobowych przetwarzanych przez Spółkę działającą jako administrator tychże danych, Prezes UODO nie został poinformowany zgodnie z przewidzianą dla takich właśnie sytuacji procedurą określoną w art. 33 rozporządzenia 2016/679. Okoliczność braku informacji o naruszeniu ochrony danych pochodzącej od administratora zobowiązanego do przekazanie takiej informacji Prezesowi UODO należy uznać za obciążającą tego administratora.

Ustalając wysokość administracyjnej kary pieniężnej, Prezes UODO uwzględnił również okoliczności łagodzące, mające wpływ na ostateczny wymiar kary, tj.:

a) Liczba poszkodowanych osób, których dane dotyczą (art. 83 ust. 2 lit. a rozporządzenia 2016/679).

W niniejszej sprawie ustalono, że naruszenie dotyczyło danych osobowych tylko dwóch osób. Taką liczba osób dotkniętych naruszeniem, szczególnie wobec faktu, że Spółka –  w związku z ze skalą i zakresem swojej działalności – przetwarza dane osobowe bardzo dużej liczby klientów (osób ubezpieczonych i ubezpieczających), należy uznać za niewielką, co niewątpliwie stanowi okoliczność łagodzącą w niniejszej sprawie.

b) Działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą (art. 83 ust. 2 lit. c rozporządzenia 2016/679).

Spółka, zanim jeszcze dokonała zgłoszenia naruszenia, zwróciła się do niewłaściwego odbiorcy z prośbą o trwałe usunięcie otrzymanej korespondencji. Takie działanie Spółki zasługuje na dostrzeżenie i akceptację, jednakże nie jest w żadnym wypadku równoznaczne  z gwarancją faktycznego usunięcia przez osobę nieuprawnioną danych osobowych i nie wyklucza ewentualnych negatywnych dla podmiotów danych konsekwencji ich wykorzystania.

Żadnego wpływu na fakt zastosowania przez Prezesa Urzędu w niniejszej sprawie sankcji  w postaci administracyjnej kary pieniężnej, jak również na jej wysokość, nie miały inne, wskazane  w art. 83 ust. 2 rozporządzenia 2016/679, okoliczności:

a) stosowne wcześniejsze naruszenia przepisów rozporządzenia 2016/679 dokonane przez Spółkę (art. 83 ust. 2 lit. e rozporządzenia 2016/679);

b) przestrzeganie wcześniej zastosowanych w tej samej sprawie środków, o których mowa w art. 58 ust. 2 rozporządzenia 2016/679 (art. 83 ust. 2 lit. i rozporządzenia 2016/679);

c) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 rozporządzenia 2016/679 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42 rozporządzenia 2016/679 (art. 83 ust 2 lit. j rozporządzenia 2016/679);

d) osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty (art. 83 ust. 2 lit. k).

W ocenie Prezesa UODO, zastosowana administracyjna kara pieniężna spełnia w ustalonych okolicznościach niniejszej sprawy funkcje, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679, tzn. jest w tym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca.

Należy podkreślić, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że Spółka, profesjonalnie i na skalę masową przetwarzająca dane osobowe, w przyszłości będzie wywiązywała się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności  w zakresie zgłaszania naruszenia ochrony danych osobowych Prezesowi UODO oraz zawiadamiania o naruszeniu ochrony danych osobowych osób, których dotyczyło naruszenie. Zastosowanie administracyjnej kary pieniężnej w niniejszym przypadku jest niezbędne zważywszy także na to, że Spółka zignorowała fakt, iż z naruszeniem ochrony danych mamy do czynienia zarówno wówczas, gdy do zdarzenia dojdzie wskutek świadomego działania, jak i wtedy, gdy doprowadzi do niego nieumyślność.

W ocenie Prezesa Urzędu Ochrony Danych Osobowych, administracyjna kara pieniężna spełni funkcję represyjną, jako że stanowić będzie odpowiedź na naruszenie przez Spółkę przepisów rozporządzenia 2016/679. Będzie również spełniać funkcję prewencyjną; w ocenie Prezesa UODO wskaże bowiem zarówno Spółce jak i innym administratorom danych na naganność lekceważenia obowiązków administratorów związanych z zaistnieniem naruszenia ochrony danych osobowych, a mających na celu przecież zapobieżenie jego negatywnym i często dotkliwym dla osób, których naruszenie dotyczy, skutkom, a także usunięcie tych skutków lub przynajmniej ograniczenie.

Stosownie do treści art. 103 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r. poz. 1781), równowartość wyrażonych w euro kwot, o których mowa  w art. 83 rozporządzenia 2016/679, oblicza się w złotych według średniego kursu euro ogłaszanego przez Narodowy Bank Polski w tabeli kursów na dzień 28 stycznia każdego roku, a w przypadku gdy w danym roku Narodowy Bank Polski nie ogłasza średniego kursu euro w dniu 28 stycznia – według średniego kursu euro ogłoszonego w najbliższej po tej dacie tabeli kursów Narodowego Banku Polskiego.

W związku z  powyższym wskazać należy, że kara pieniężna w wysokości 85 588 złotych (słownie: osiemdziesiąt pięć tysięcy pięćset osiemdziesiąt osiem złotych), co  stanowi równowartość 20 000 euro (średni kurs euro z 28 stycznia 2020 r. – 4,2794 zł), spełnia w ustalonych  okolicznościach niniejszej sprawy przesłanki, o których mowa w art. 83 ust. 1 rozporządzenia 2016/679 ze względu na powagę stwierdzonego naruszenia w kontekście podstawowego celu rozporządzenia 2016/679 – ochrony podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony  danych  osobowych.  Odnosząc się  do  wysokości  wymierzonej Spółce administracyjnej kary  pieniężnej, Prezes  Urzędu  Ochrony  Danych  Osobowych  uznał, iż jest ona proporcjonalna do sytuacji finansowej Spółki i nie będzie stanowiła dla niej obciążenia.

Wysokość kary została bowiem określona na takim poziomie, aby z jednej strony stanowiła adekwatną reakcję  organu  nadzorczego  na  stopień   naruszenia   obowiązków  administratora,  z  drugiej  jednak  strony  nie  powodowała  sytuacji,  w której konieczność  uiszczenia  kary finansowej pociągnie za sobą negatywne następstwa, w postaci znaczącej redukcji zatrudnienia bądź istotnego spadku obrotów Spółki. Zdaniem Prezesa Urzędu Ochrony Danych Osobowych, Spółka powinna i jest w stanie ponieść konsekwencje swoich zaniedbań w sferze ochrony danych,  o czym świadczy chociażby sprawozdanie finansowe Spółki za okres od […] stycznia 2019 roku do […] grudnia 2019 roku, przesłane do UODO w dniu […] października 2020 r.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

 

Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (adres: ul. Stawki 2, 00 – 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U.  z 2019 r. poz. 2325 ze zm.). Strona (osoba fizyczna, osoba prawna, inna jednostka organizacyjna nieposiadająca osobowości prawnej) ma prawo ubiegać się o prawo pomocy, które obejmuje zwolnienie od kosztów sądowych oraz ustanowienie adwokata, radcy prawnego, doradcy podatkowego lub rzecznika patentowego. Prawo pomocy może być przyznane na wniosek Strony złożony przed wszczęciem postępowania lub w toku postępowania. Wniosek jest wolny od opłat sądowych.

Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.  z 2019 r. poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 ww. ustawy Prezes Urzędu Ochrony Danych Osobowych może, na uzasadniony wniosek podmiotu ukaranego odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes Urzędu Ochrony Danych Osobowych nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa (Dz. U. z 2020 r. poz. 1325, z późn. zm.), od dnia następującego po dniu złożenia wniosku.

Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U.  z 2019 r. poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.

Czytaj dalej Uwaga! 85 tys. zł kary za wysłanie danych osobowych na błędny adres e-mail

Urzędy Ochrony Danych w Europie nakładają coraz więcej kar finansowych

W Polsce  pojawia się coraz więcej kar za uchybienia RODO – m.in. za brak zawarcia Umowy Powierzenia Danych. Oto przegląd kar:

>> 16 października 2019 roku  – Polski Urząd Ochrony Danych nałożył 201 tys. zł kary na firmę ClickQuickNow Sp. z o.o. z siedzibą w Warszawie, za utrudnianie wypisania się z listy wysyłkowej

>> W październiku 2019 roku 40 tys. zł kary na burmistrza Aleksandrowa Kujawskiego za brak umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.

>> We wrześniu 2019 roku 2,8 miliona złotych kary na spółkę Morele.net za niewystarczające zabezpieczenie danych osobowych.

>> W maju 2019 roku prawie 56 tys. zł na Związek Piłkarski za opublikowanie na swojej stronie internetowej danych osobowych sędziów piłkarskich.

>> W marcu 2019 r. blisko 1 mln zł za zaniedbanie obowiązku informacyjnego przez spółkę Bisnode

Zobacz inne kary kary i uzasadnienia: Czytaj dalej Urzędy Ochrony Danych w Europie nakładają coraz więcej kar finansowych

Nowy Urząd Ochrony Danych z dużymi kompetencjami nakładania kar do 20 mln euro!

mc-600x241Ministerstwo Cyfryzacji opublikowało projekt nowej ustawy o ochronie danych osobowych. Zakłada on powołanie nowego organu nadzorczego – Prezesa Urzędu Ochrony Danych z szerokimi kompetencjami nakładania administracyjnych kar w wysokości do 20 mln euro lub większych do 4% światowego obrotu firmy!  Warto jednak już dziś zapoznać się z głównymi założeniami nowej ustawy, ponieważ przewiduje ona nieznane dotąd w Polsce mechanizmy nakładania bardzo wysokich kar w trybie jednoinstancyjnej decyzji organu nadzorczego.

Czytaj dalej Nowy Urząd Ochrony Danych z dużymi kompetencjami nakładania kar do 20 mln euro!

Kantory a nowe procedury przeciwdziałania praniu pieniędzy

facebookKażdy kantor musi realizować obowiązek przeciwdziałania praniu pieniędzy. Poza samą analizą transakcji i klientów należy również legitymować się aktualnym dyplomem uczestnictwa w szkoleniu, procedurą wewnętrzną oraz rejestrem transakcji zagrożonych.

Do kantoru należy ocena, czy operacje zamiany zlecane przez klienta stanowią elementy składowe jednej transakcji, czy też stanowią oddzielne transakcje. Pociąga to za sobą obowiązek rejestracji.

Czytaj dalej Kantory a nowe procedury przeciwdziałania praniu pieniędzy

Fundacje, stowarzyszenia i przedsiębiorcy a obowiązek wdrożenia procedur AML?

facebookW katalogu Instytucji Obowiązanych są także takie podmioty, które wprawdzie bezpośrednio nie przeprowadzają transakcji, ale mogą przyjmować dyspozycje lub zlecenia do przeprowadzania transakcji, uczestniczyć w ich przygotowaniu, lub mieć wiedzę o przeprowadzanych transakcjach. Do tej grupy Instytucji Obowiązanych należą fundacje, stowarzyszenia i przedsiębiorcy.

Czytaj dalej Fundacje, stowarzyszenia i przedsiębiorcy a obowiązek wdrożenia procedur AML?

Procedury przeciwdziałaniu praniu pieniędzy w pakiecie iAML eBOX to najtańsze rozwiązanie dla MSP!

amlW celu uregulowania procedur przeciwdziałaniu pieniędzy w biurze rachunkowym lub innym podmiocie obowiązanym z sektora małych i średnich przedsiębiorstw – najtańszym rozwiązaniem jest zakup promocyjnego pakietu iAML dystrybuowanego przez firmę RBDO. Cena pakietu to zaledwie 299 PLN netto (standardowo 999 PLN netto). Jest to narzędzie dedykowane dla biur rachunkowych oraz innych podmiotów obowiązanych.

Zestaw eBOX iAML zawiera

I. Szkolenie okresowe

Zdobędziesz wiedzę uczestnicząc w szkoleniu online.
Opracowane pod kątem spełnienia wymogów prawnych, uwieńczone wygenerowaniem DYPLOMU ważnego 12 miesięcy do kolejnej sesji aktualizacyjnej!

Szkolenie jest autoryzowane przez ekspertów legitymujących się certyfikatami International Compliance Association.

 

 

II. Procedura wewnętrzna


Wprowadzisz zasady działania zgodne z obowiązującymi przepisami

Dopasowana do odpowiednich Instytucji Obowiązanych procedura jest niezbędnym ustawowym elementem do wypełnienia. Stanowi zapis konkretnych działań służących przeciwdziałaniu praniu pieniędzy w firmie. Należy dołączyć je do bazowej dokumentacji firmowej.

 

 

 

III. Rejestr transakcji 
Analizuje relacje i transakcje oraz generuje formularze powiadomień do GIIF

Program iAML analizuje i monitoruje dane pod kątem podmiotu oraz zawieranych przez niego transakcji. Prowadzi własny rejestr oraz generuje raporty do GIIF – Generalnego Inspektora Informacji Finansowej.

Pozwala na import danych z programów: Subiekt, Optima, Symfonia oraz plików z innych systemów w formatach (xml, csv, uni, ple). Działa w środowisku MS Windows.

Gdy zostanie wykryta transakcja wysokiego ryzyka, system iAML wygeneruje zestaw formularzy i powiadomień do GIIF, aby wypełnić założenia Twojej procedury

Gotowe rozwiązanie znacznie tańsze od budowanego od podstaw

Każdy indywidualny projekt jest wyceniany podobnie jak praca radców prawnych z uwagi na charakter usługi.

Analiza obecnie wdrożonej procedury wewnętrznej to koszt pracy działu prawnego liczony w godzinach lub per storna dokumentu. Ponadto należy dokonać audytu wewnętrznego oraz struktury organizacyjnej podmiotu.

Godzina pracy działu prawnego lub analiza 2 stron dokumentu to równowartość kosztu oferowanego pakietu wraz ze szkoleniem oraz aplikacją do wykonywania środków bezpieczeństwa finansowego.

Proponuje zatem zakup dedykowanego narzędzia iAML, które jest zgodne z obowiązującym prawem i przygotowane pod kątem biur rachunkowych, biegłych rewidentów oraz doradców podatkowych.

To najtańsze i za razem bardzo profesjonalne rozwiązanie, zdecydowanie wyprzedzające oczekiwania GIIF.

Narzędzie iAML rekomenduje Pani Halina Kozak (biegły rewident oraz doradca podatkowy), która jest współtwórcą narzędzi. Dołożyła starań aby narzędzie było spójne z prawem i nie obciążało mocno zapracowanych specjalistów.

Zapraszamy do kontaktu w dogodnym terminie – aml@rbdo.pl

 

KOMPLEKSOWE ROZWIĄZANIE DLA BIUR RACHUNKOWYCH SPEŁNIAJĄCE WYMOGI PRAWNE OD INCASO GROUP –  W PARTNERSKIEJ OFERCIE 

Rozwiązanie wdrożenia procedur przeciwdziałania praniu pieniędzy – iAML jest idealne dla małych i średnich przedsiębiorstw – pozwala oszczędzić czas i znacznie większe środki na dedykowane rozwiązania.
Nasz Partner Incaso Group – pomaga szybko i niskim kosztem wypełnić obowiązek ustawowy

RBDO

wzór procedury z załącznikami do uzupełnienia (WYDRUKOWANE),
– aplikacja jednostanowiskowa (helpdesk),
– szkolenie e-learning dla 2 osób (certyfikacja).

Zamówienia można dokonać na stronie sklepu> lub pod mailem: aml@rbdo.pl

– wzór procedury z załącznikami do uzupełnienia,
– aplikacja jednostanowiskowa (helpdesk),
– szkolenie e-learning dla 2 osób (certyfikacja).

Wiedza zdobyta podczas szkolenia, opracowana przez Incaso Group oraz procedura wewnętrzna i prosty w obsłudze program iAML pozwoli Państwu w sposób kompleksowy spełnić wszystkie ustawowe obowiązki przeciwdziałania praniu pieniędzy oraz być w pełni przygotowanym na procedur UE wynikające z IV Dyrektywy AML – która zacznie być stosowana już w 2017 roku!

ZOBACZ PREZENTACJĘ I OFERTĘ ROZWIĄZANIA OD 299 ZŁ!

RBDO

Więcej informacji o ofercie można uzyskać pod mailem: aml@rbdo.pl

lub w rozmowie z konsultantem Incaso Group pod numerem: Tel. +48 22 100 36 93 lub Kom. + 48 533 376 373

RBDO – Rejestracja i Bezpieczeństwo Danych Osobowych
ul. Kopalniana 22a/7
01-321 Warszawa

T:+48 22 100 36

 http://rbdo.pl/
aml@rbdo.pl

 

Biura rachunkowe w obliczu IV Dyrektywy AML – przeciwdziałaniu praniu pieniędzy – która zacznie obowiązywać w 2017 roku!

dyrektywa AMLW 2017 roku zostanie zastosowana  IV Dyrektywa Unijna dotycząca przeciwdziałaniu praniu pieniędzy – która w znacznym stopniu zaostrzy restrykcje w tym obszarze szczególnie względem biur rachunkowych. W wyniku nowelizacji dotyczącej przeciwdziałaniu brudnych pieniędzyw 2017 roku pośród instytucji obowiązanych – obok m.in. biegłych rewidentów, doradców podatkowych – znajdą się̨ podmioty zajmujące się usługowym prowadzeniem ksiąg rachunkowych. Zgodnie z nimi księgowi jako należący do jednej z kategorii tzw. desygnowanych firm i zawodów niefinansowych, powinni także być aktywnym elementem systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Zostało już niewiele czasu do adaptacji przepisów i wdrożenia procedur przeciwdziałania praniu pieniędzy w biurze rachunkowym! Czytaj dalej Biura rachunkowe w obliczu IV Dyrektywy AML – przeciwdziałaniu praniu pieniędzy – która zacznie obowiązywać w 2017 roku!

POLITYKA PRYWATNOŚCI

Postanowienia Ogólne

Postanowienia poniższe stanowią politykę prywatności (dalej: „Polityka Prywatności”), która określa informacje dotyczące zbierania danych, w tym danych osobowych użytkowników usług(i) świadczonej przez firmę DoradcyPrawa.pl z siedzibą przy ul.  Kopalnianej 22a/7 ,  o numerze NIP: 118-165-16-57 , oraz sposób ich przetwarzania.

Dane osobowe

Serwis RBDO dokłada wszelkich starań, aby prowadzony serwis rbdo.pl ułatwiał każdemu użytkownikowi przeglądanie strony i składanie zamówień. Dlatego w trosce o bezpieczeństwo i wygodę zakupów informujemy, że poruszając się po stronie wyrażasz zgodę na wykorzystywanie przez sklep plików cookies oraz innych podanych dobrowolnie danych osobowych. Dane, o które będziesz proszony w formularzach zamówień, są niezbędne do działania serwisu lub realizacji usługi. Podanie danych jest dobrowolne. Niepodanie wymaganych danych zablokuje czynność, którą te dane dotyczyły.

Rodzaje i cel wykorzystania danych

Jawne Dane Osobowe

Dane osobowe podane na serwisach należących do serwisu RBDO przy okazji wysyłania komentarzy, opinii itp. są dostępne dla wszystkich odwiedzających strony zawierające te dane. Serwis RBDO nie ma możliwości zabezpieczenia Was przed osobami prywatnymi lub firmami, które te dane wykorzystają do przesłania Wam nieokreślonych informacji. Dlatego dane te, nie podlegają „Polityce Prywatności”.

Cookies (Ciasteczka)

Serwis RBDO zbiera automatycznie dane zawarte w plikach cookies podczas korzystania ze strony internetowej sklepu internetowego. Cookies, czyli małe pliki tekstowe wysyłane do komputera internauty identyfikujące go w sposób potrzebny do wykonania danej operacji, np. w postaci uwierzytelnienia, zbierania danych statystycznych lub zapisania danych w formularzach kontaktu lub zamówienia.

Cookies są nieszkodliwe ani dla komputera ani dla jego użytkownika i jego danych. Warunkiem działania cookies jest ich akceptacja przez przeglądarkę i nie usuwanie ich z dysku. W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarki) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Jednakże w ustawieniach przeglądarki można dokonać zmiany ustawień dotyczących cookies, w szczególności w taki sposób, aby blokować automatyczną ich obsługę w ustawieniach przeglądarki bądź informować o ich każdorazowym zamieszczeniu w urządzeniu końcowym użytkownika. Szczegółowe informacje o możliwości i sposobach obsługi cookies dostępne są w ustawieniach oprogramowania przeglądarki. Usługa lub jej poszczególne funkcjonalności mogą jednak bez plików cookies nie działać poprawnie.

Subskrypcja bezpłatnych newsletterów

Zaprenumerowanie elektronicznych i bezpłatnych newsletterów należących do Serwis RBDO wymaga podania w odpowiednim formularzu swojego adresu e-mail i innych danych, np. imię itp. Uzyskane w ten sposób dane są dodawane do listy mailingowej serwisów.

Niezapowiedziane Wiadomości

Serwis RBDO zastrzega sobie prawo do wysyłania niezapowiedzianych wiadomości osobom, których dane kontaktowe posiada i które zgodziły się z Polityką Prywatności. Pod pojęciem niezapowiedzianych wiadomościSerwis RBDO rozumie informacje odnoszące się bezpośrednio do jego serwisów, usług i produktów (np. zmiany, wewnętrzne promocje), niekomercyjne listy (np. życzenia, komentarze osobiste itp.) oraz informacje komercyjne (mailingi, promocje, reklamy, inne materiały marketingowe). Podmioty zlecające komercyjne mailingi nie mają wglądu w dane kontaktowe osób znajdujących się na listach adresowych serwisu RBDO.

Formularze, okna pop-up i inne formy znajdujące się gościnnie na serwisach należących do serwisu RBDO i dotyczące usług, produktów, serwisów nieobsługiwanych przez serwis RBDO nie podlegają „Polityce Prywatności”.

Uprawnienia użytkowników w zakresie danych osobowych

Serwis RBDO zapewnia użytkownikom przekazującym dane osobowe realizację uprawnień wynikających z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r., nr 101, poz. 926 z późn. zm.),
w tym również prawo do żądania uzupełnienia, uaktualnienia, sprostowania danych osobowych, czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia, jeżeli są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są już zbędne do realizacji celu, dla którego zostały zebrane.

Użytkownik ma prawo w każdym czasie do usunięcia swoich danych osobowych poprzez kontakt mailowy na adres biuro@rbdo.pl

Serwis RBDO stosuje środki techniczne i organizacyjne, których celem jest jak najlepsze zabezpieczenie gromadzonych danych osobowych przed nieuprawnionym dostępem lub niewłaściwym wykorzystywaniem przez osoby nieuprawnione.

Zmiany Polityki Prywatności

Serwis RBDO zastrzega sobie prawo do wprowadzania zmian w Polityce Prywatności. Każdego użytkownika serwisu należącego do serwisu RBDO obowiązuje aktualna „Polityką Prywatności”. O zmianach Polityki Prywatności, serwis RBDO będzie informować na stronach serwisu.

Dodatkowe informacje

W przypadku pytań lub wątpliwości, co do Polityki Prywatności, serwis RBDO prosi prosi o kontakt na adres e-mail podany na stronach serwisu biuro@rbdo.pl

Akty Prawne O Ochronie Danych Osobowych w Polsce po 1 stycznia 2015 r.

NOWE! Projety ustaw Ministerstwa Cyfryzacji z dnia 13 września 2017 roku – opublikowano następujące akty dot. Rozporządzenia UE  :

Akty prawne związane z ochroną danych osobowych w Polsce po nowelizacji z 1 stycznia 2015 roku:

Ustawa O Ochronie Danych Osobowych

 

 

Klienci

Z usług i produktów Kancelarii Doradczej RBDO skorzystało już z zadowoleniem kilka tysięcy firm, instytucji państwowych, szkół, spółdzielni oraz organizacji.

Spośród kilku tysięcy podmiotów prezentujemy niewielki przekrój firm i jednostek organizacyjnych jakie zdecydowały się na produkty RBDO.

portfolio2016

Zakres działalności RBDO:

    • Wdrożenia kompletnej  dokumentacji przetwarzania danych osobowych
    • Usługi audytu i rejestracji zbiorów danych w rejestrze GIODO
    • Wsparcie prawne w razie kontroli i wyjaśnień w zakresie przetwarzania danych osobowych
      • Szkolenia Administratorów Bezpieczeństwa Informacji (ABI)
    • Audyty i wdrożenia Regulaminów sprzedaży i innych dokumentacji

GWARANTUJEMY KONKURENCYJNE CENY WDROŻEŃ NA RYNKU!

info

Jeśli otrzymali Państwo ofertę z zakresu wdrożeń ochrony danych lub opracowania Regulaminu sprzedaży w lepszej cenie  – zrealizujemy te same usługi nawet 30% taniej!
W celu wyceny indywidualnych wdrożeń i uzyskania optymalnej dla Państwa oferty zapraszamy do kontaktu pod mail biuro@rbdo.pl
lub Infolinię Prawną  – (22) 487 86 70
Jesteśmy pewni jakości i gwarancji naszych usług i ich rzetelnej zgodności z przepisami prawa. Zaufało nam już kilka tysięcy firm, instytucji państwowych oraz organizacji.

 

Serdecznie zapraszamy do współpracy!

O NAS

Team Of Business PeopleRBDO – Rejestracja i Bezpieczeństwo Danych Osobowych zapewnia kompleksowe wdrożenia z zakresu ochrony i przetwarzania danych osobowych – przeprowadzamy audyty, wdrożenia dokumentacji, rejestracje zbiorów danych do GIODO, doradztwo dla ABI (Administratorów Bezpieczeństwa Informacji).

Zespół specjalistów RBDO opracował produkty i usługi gwarantujące spełnienie wymogów ustawy o ochronie danych osobowych. Proponujemy zróżnicowaną ofertę dla firm, instytucji oraz organizacji.

Oprócz ochrony danych osobowych zajmujemy się także opracowywaniem Regulaminów sprzedaży, umów i innych dokumentacji towarzyszących.

portfolio

Biuro Rejestracja i Bezpieczeństwo Danych Osobowych

Ul. Kopalniana 22a /7
01-0321 Warszawa
tel.: (22) 487 86 70
biuro@rbdo.pl

Godziny pracy: 9.00 – 17.00

W celu usprawnienia kontaktu z RBDO, prosimy o kontakt na Infolinię Prawną
– (22) 487 86 70.

Pod numerem Infolinii można uzyskać informacje o ustawie o ochronie danych osobowych, obowiązku rejestracji zbiorów danych, wdrożeniach RBDO.

Infolinia czynna jest  od poniedziałku do piątku, w godzinach od 9:00 do 16:15.

Kierownictwo:
Łukasz Cieniak
Dyrektor Generalny Rejestracja i Bezpieczeństwo Danych Osobowych
Tel.: +48 664 484 218
biuro@rbdo.pl

Dział Prawny:
Dyrektor Działu Prawnego
Karol Cieniak
faq@rbdo.pl
Tel.: +48 666 335 207

Joanna Dobkowska
Adwokat przy ORA w Warszawie

Karolina Kulikowska
Konsultant Prawny

 

GWARANTUJEMY KONKURENCYJNE CENY WDROŻEŃ NA RYNKU!

info

W celu wyceny indywidualnych wdrożeń i uzyskania optymalnej dla Państwa oferty zapraszamy do kontaktu pod mail biuro@rbdo.pl lub Infolinię Prawną  – (22) 487 86 70
Jesteśmy pewni jakości i gwarancji naszych usług i ich rzetelnej zgodności z przepisami prawa.Zaufało nam już kilka tysięcy firm, instytucji państwowych oraz organizacji.

Serdecznie zapraszamy do współpracy!