Niedawno pisałem o tym, że przy okazji zbliżającego się końca roku rozmawialiśmy w gronie znajomych m.in. o wycenie produktów cyfrowych, np. w oparciu o kwotę, jaką chcemy uzyskać ze sprzedaży (ile sztuk i w jakiej cenie, by uzyskać 100k). Z początkiem roku tematem głównym w kontekście eCommerce bez wątpienia jest kwestia zmian w prawie, które pod pewnymi warunkami, również w przypadku zakupów “na firmę” przyznają kupującemu prawa dotychczas zarezerwowane tylko dla konsumentów w znaczeniu osób, niedokonujących zakupów na firmę (bo można było oczywiście prowadzić firmę, i nadał robić zakupy jako konsument, po prostu nie kupując “na firmę”). Innym ciekawym tematem jest kara nałożona na Wartę (Towarzystwo Ubezpieczeń i Reasekuracji WARTA S.A) przez UODO (Urząd Ochrony Danych Osobowych).

Brak zgłoszenia naruszenia ochrony danych osobowych bez zbędnej zwłoki powodem nałożenia kary

Sprawa niby prosta, bo kara (85 588 zł) założona z powodu działań Warty, a konkretnie braku należytych – przynajmniej wg UODO – działań, dotyczących informacji o incydencie naruszenia danych osobowych, czyli wysłania polisy ubezpieczeniowej na błędny adres e-mail:

Do Urzędu Ochrony Danych Osobowych (UODO) w maju 2020 r. wpłynęła informacja od osoby postronnej o naruszeniu ochrony danych osobowych, które polegało na wysłaniu pocztą elektroniczną przez agenta ubezpieczeniowego, będącego podmiotem przetwarzającym dla Towarzystwa Ubezpieczeń i Reasekuracji WARTA S.A., polisy ubezpieczeniowej do nieuprawnionego adresata.

Załączony dokument zawierał dane osobowe w zakresie m.in. imion, nazwisk, adresów zamieszkania, numerów PESEL oraz informacji dotyczących przedmiotu ubezpieczenia (samochód osobowy).

Na razie wszystko niby klasycznie, ale co bardziej czujni już być może wyłapali, że mamy tutaj informację/zgłoszenie “od osoby postronnej”, czyli – co potwierdza dalsza część informacji – odbiorcy wiadomości, który otrzymał błędny e-mail:

Istotny w tej sprawie jest fakt, że organ nadzorczy został poinformowany o naruszeniu ochrony danych osobowych przez nieuprawnionego adresata, który wszedł w posiadanie nieprzeznaczonych dla niego dokumentów, w związku z czym doszło do naruszenia poufności danych osób.

I tym sposobem dochodzimy powoli do głównego powodu nałożenia kary – brak należytej informacji, oraz powodu całego zajścia (pogrubienie moje):

Spółka potwierdziła, że doszło do incydentu związanego z naruszeniem ochrony danych osobowych oraz, że została dokonana ocena pod kątem ryzyka naruszenia praw i wolności osób fizycznych. To właśnie na jej podstawie ukarana spółka uznała, iż zaistniałe naruszenie nie wymaga zawiadomienia UODO. Spółka uznała, że naruszenie powstało na skutek wysłania dokumentu polisy ubezpieczeniowej na błędny adres poczty elektronicznej, który wskazał sam klient. Ponadto nieuprawniony odbiorca zwrócił się do spółki, a ta poprosiła o trwałe usunięcie wiadomości wraz z prośbą o informację zwrotną potwierdzającą jej usunięcie.

Pomimo pisma UODO z prośbą o wyjaśnienia, spółka nadal nie zgłosiła naruszenia ochrony danych osobowych oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzoru wszczął więc postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania spółka zgłosiła naruszenie ochrony danych osobowych oraz zawiadomiła dwie osoby, których dotyczy naruszenie.

I faktycznie, można się zastanawiać, czy działania Warty były odpowiednie. I to nie tylko bezpośrednio po uzyskaniu informacji od “nieuprawnionego odbiorcy”, ale i – a może przede wszystkim – po “interwencji” UODO.

No i jak tak sobie w naszym gronie dyskutowaliśmy o tym przypadku, to kwota kary miała najmniejsze znaczenie (zresztą jest relatywnie niewielka). Skupiliśmy się na działaniach informacyjnych, jakie w takiej sytuacji warto/trzeba podjąć, oraz w ogóle o zasadności całego postępowania, bo czy na pewno mieliśmy tutaj do czynienia z faktem naruszenia danych osobowych.

Obowiązek informacyjny dotyczący wycieku danych osobowych

Wejście w życie RODO sprawiło, że wiele aspektów dotyczących działań dotyczących przetwarzania danych osobowych, zarówno w sytuacji normalnego przetwarzania, jak i – tak jak w tym przypadku – potencjalnego wycieku, nie jest regulowane wprost, a jest uznaniowe, i konkretne działania zależą od naszej analizy/decyzji.

Oczywiście – tak jak w tym przypadku – odpowiedni urząd, czyli np. UODO, może uznać, że nasze działania są niewystarczające, i musimy z tym coś (więcej) zrobić. I w takiej sytuacji warto to zrobić, by nie było, że:

Pomimo pisma UODO z prośbą o wyjaśnienia, spółka nadal nie zgłosiła naruszenia ochrony danych osobowych oraz nie powiadomiła o incydencie osób, których dotyczyło naruszenie. Organ nadzoru wszczął więc postępowanie administracyjne. Dopiero w wyniku wszczęcia postępowania spółka zgłosiła naruszenie ochrony danych osobowych oraz zawiadomiła dwie osoby, których dotyczy naruszenie.

Takie działanie spółki spowodowało, że czas trwania naruszenia był długi, co należy uznać za okoliczność obciążającą. Tym bardziej, że od powzięcia informacji o naruszeniu ochrony danych osobowych do powiadomienia o nim organ nadzorczy upłynęło pięć miesięcy.

Więc tutaj nie ma co Warty bronić, bo skoro sami uznali, że naruszenie miało miejsce, i jednocześnie dostali z UODO informacje, że podjęte działania wydają się nieadekwatne, to należało to raczej się do nich ustosunkować. Zwłaszcza że nie wydają się przesadne…

Ale czy na pewno był wyciek danych osobowych? ;-)

Choć może stało się dobrze, bo dzięki temu mamy całkiem ciekawy przypadek do analizy, i to nie tylko przy okazji noworocznego spotkania przy… czymś dobrym. Bo choć w swoim komunikacie UODO jakby wprost odpowiada na trochę przewrotne zadane pytanie w powyższym podtytule, to pewne wątpliwości można chyba mieć:

W toku postępowania UODO uznał, że fakt, iż do naruszenia doszło w wyniku błędu klienta, który przekazał nieprawidłowy adres mailowy, nie może mieć wpływu na niezakwalifikowanie zdarzenia jako naruszenia ochrony danych osobowych.

Raczej możemy się zgodzić, że dysponentem swoich danych osobowych na pewno był klient, i to on w swojej dyspozycji wskazał Warcie adres e-mail, na jaki chce, by wysłać mu szczegóły umowy. I jak Julek zechce – jako dysponent swoich danych osobowych – by np. jego polisę wysłać do Julki, to w sumie nic nam do tego. I to nie tylko dlatego, że częste są przypadki, gdy kilka osób – zwłaszcza w obrębie rodziny, czy na studiach – korzysta z tego samego adresu e-mail.

A gdyby tak…

Oczywiście firma mogła dokonać weryfikacji adresu e-mail np. za pomocą tzw. mechanizmu Double Opt-in, czyli wysłania na podany adres e-mail linku, w który klient powinien kliknąć, by potwierdzić, że adres jest prawidłowy. Problem tylko w tym, że nawet jakby użytkownik (!) adresu e-mail wykonał taką operację, co niekoniecznie jest pewne i powszechne (i później byłyby żale, że dokumenty polisy nie dotarły), to jest to tylko potwierdzenie, że ktoś korzystający z tego adres e-mail kliknął (w) otrzymany link. Czyli raczej potwierdzamy, że taki adres e-mail istnieje, niż to, kto jest faktycznym jego użytkownikiem. No i nie zapominajmy, ze ktoś może nie korzystać z poczty e-mail, i tym samym – dla bezpieczeństwa – do podobnego “naruszenia” mogłoby dojść przy błędnie podanym adresie zamieszkania.

Podpowiedź: Można by na stronie, do której prowadzi spersonalizowany link służący do potwierdzenia dodać np. weryfikację numeru PESEL, tak by prawidłowe potwierdzenie adresu e-mail nastąpiło dopiero w tym momencie. Można też lekko zmodyfikować procedurę, i dopiero w  tym momencie, po dodatkowej weryfikacji na stronie przekazywać dokumenty do pobrania. W przypadku zwykłych przesyłek pocztowych można skorzystać z opcji “polecony do rąk własnych”, ale nie byłoby to ani specjalnie tanie, ani wygodne (głównie dla odbiorcy przesyłki, który by zaraz lamentował, że nie ma czasu biegać na pocztę, i nie rozumie, czemu przesyłki nie może odebrać w jego imieniu… inna osoba ;-)).

Można było też załączniki zabezpieczyć hasłem, czyli – jak często jest to spotykane – np. numerem PESEL. Problem tylko w tym, że niekoniecznie dana osobowa powinna być hasłem, a do tego numer PESEL to 11 cyfr, więc jego złamanie – i to bez analizowania struktury/budowy numeru PESEL – nie będzie specjalnie wymagające dla obecnych komputerów.

Podpowiedź: Można skorzystać z dłuższego, bardziej przypadkowego hasła, które firma przekazuje klientowi na etapie składnia wniosku. Czy to przez agenta (jak w tym przypadku), czy na stronie internetowej. Choć bazując na swoim doświadczeniu zawodowym, i to nie tylko od strony IT, podejrzewam, że pewnie wymagałoby to utworzenia nowej infolinii dla klientów. I to nie tylko dla tych, co gdzieś zapodziali otrzymane hasło…

Mam sklep internetowy i…

Teoria za nami, to teraz pora na małe ćwiczenie do osób prowadzących np. sklepy internetowe. Pewnie na potrzeby realizacji zamówienia – nawet w przypadku produktów cyfrowych, takich jak eBooki czy kursy internetowe – klient podaje jakieś dane osobowe. Podaje również adres e-mail, na który najpewniej otrzymuje potwierdzenie zamówienia (i regulamin), gdzie znajdują się najczęściej również podane przez tego klienta dane.

Pomijając już rozważania na temat tego, co by było, gdyby klient podał nie swoje dane, a dane innej osoby, a więc… Ale załóżmy, że podał swoje, czyli jak to ma miejsce najczęściej, ale – jak w opisywanym przypadku – pomylił się w adresie e-mail. A ze statystyk wysyłek wiadomości transakcyjnych ze sklepów internetowych, którymi się opiekują (różnej maści odbicia) wiem, że choć są to pojedyncze przypadki, to występują dość regularnie.

Teoretycznie w każdym takim przypadku istnieje szansa, że właśnie znaleźliśmy się w podobnej sytuacji jak Warta. Pół biedy, gdy błędnie wpisany adres e-mail klienta nie istnieje, bo wtedy dostaniemy “zwrotkę” (odbicie) z systemu wysyłającego e-maile ze sklepu, i co najwyżej będziemy musieli obsłużyć zgłoszenie reklamacyjne (brak wiadomości) i/lub techniczne (brak danych logowania, brak możliwości zresetowania hasła, bo adres błędny).

No to piszemy (nie tylko do UODO) samodonos

Więc wg stanowiska UODO – po uzyskaniu informacji o takim zdarzeniu – powinniśmy poinformować nie tylko UODO, ale i klienta, którego to dotyczy. Czyli tego, którego dane osobowe przesłaliśmy do “osoby postronnej”. Nawet jeśli zrobiliśmy to  zgodnie ze wskazaniem klienta, czyli na podany przez niego adres e-mail. I to bazując na informacji od Julki, że ona nie jest Julkiem.

Dlatego trochę żartem, a trochę serio, swoim klientom chyba zasugeruję procedurę trochę odwrotną. By w każdym takim przypadku nie tylko informowali klienta, że w wyniku jego pomyłki jego dane trafiły do innej osoby, ale by taką informację koniecznie wysyłali (zgłaszali) również do Urzędu Ochrony Danych Osobowych (UODO). Tak na wszelki wypadek. I to nie tylko po to, by w UODO mieli co robić (DDoS ;-)), ale i dlatego, że teoretycznie taki mają obowiązek… ;-)