6,8M bírság kései incidens bejelentés miatt
2020. december 18-án véglegesítette döntését a WARTA S.A. ellen a Lengyel Adatvédelmi Hatóság (UODO), melyben 85.588 zlotyi (6,84M Ft) bírságot szab ki a cégre, mely késedelmesen értesítette a hatóságot a nála bekövetkezett adatvédelmi incidensről. Az incidensekkel kapcsolatos bejelentési kötelezettséget a hatóságok jellemzően komolyan veszik és nem tétlenkednek bírságot kiszabni, ha mulasztást tapasztalnak.
Az ügyről 2020 májusában kapott bejelentést a Hatóság egy harmadik féltől, mely szerint a WARTA téves címzettnek küldött egy biztosítási adatokat tartalmazó e-mailt. A szóban forgó e-mail tartalmazta az érintett:
- teljes nevét,
- lakcímét,
- személyazonosító számát (PESEL), illetve
- a biztosítási szerződés tárgyát (személyautó).
Az ügy különlegessége, hogy a Hatóságot az a személy értesítette, akinek illetéktelenül küldte el a cég a korábban felsorolt személyes adatokat tartalmazó dokumentumokat, illetve, hogy az incidens az érintett által helytelenül megadott e-mail cím miatt következett be.
A bejelentést követően a Hatóság felszólította a WARTA-t, hogy tisztázza, történt-e adatvédelmi incidens, mellyel kapcsolatban a Hatóság részére bejelentési kötelezettsége lett volna, és ha igen, akkor ezzel kapcsolatban végzett-e kockázatértékelést.
A cég megerősítette, hogy történt adatvédelmi incidens, és hogy az ezzel kapcsolatos vizsgálatokat elvégezték. Ezek végkövetkeztetése az volt, hogy a cégnek nem szükséges tájékoztatnia az UODO-t, mivel az incidens annak volt köszönhető, hogy az érintett maga rossz e-mail címet adott meg cég részére. A WARTA ezen felül megkereste az e-mail téves címzettjét, és felszólította az illetéktelenül kapott üzenet törlésére, melynek megtörténtéről külön megerősítést kért.
A Hatóság tisztázási kérelmétől függetlenül azonban a cég továbbra sem jelentette be az incidenst, illetve nem értesítette az incidens megtörténtéről az érintetteket. Az UODO emiatt hivatalos vizsgálatot kezdeményezett, a cég pedig csak a vizsgálat megindítása után értesítette az ügyben érintett két személyt.
A vizsgálat során a Hatóság figyelembe vette, hogy az incidens az egyik ügyfél tévedése következtében keletkezett, azonban ez nem jelenti, hogy az ügyet nem kell teljes értékű incidensként kezelni. A Hatóság szerint az incidens megállapítása szempontjából annak nem volt relevanciája, hogy az érintett által megadott rossz e-mail címnek köszönhető, miután erről értesült a cég, incidensként kellett volna kezelnie. A Hatóság szerint, amikor egy cég engedélyezi, hogy ügyfelei e-mailen keresztül kommunikáljanak vele, tisztában kell lennie ennek kockázataival, például olyan esetben, amikor az ügyfél téves címet ad meg.
Ennek értelmében még olyan egyszerűnek tűnő folyamat esetében is, mint az e-mailes kommunikáció, szükségesek a megfelelő szervezeti és technikai intézkedések, például az e-mail cím megerősítése vagy az ilyen módon küldött dokumentumok titkosítása.
Az UODO megjegyezte továbbá, hogy csupán az, hogy a cég felkérte a tévesen megadott címzettet az e-mailek törlésére, nem jelenti, hogy az érintettek jogai nem sérülnek, és ne kellene adott esetben jelenteni az incidenst a hatóságnak. Az adatkezelő ugyanis nem tud minden kétséget kizáróan megbizonyosodni arról, hogy a téves címzett pl. nem készített másolatot a dokumentumokról.
A bírság kiszabásakor súlyosbító körülményként értékelte a Hatóság az incidens hosszú időtartamát – közel 5 hónap telt el az incidenstől az UODO értesítéséig. Enyhítő körülményként vette viszont figyelembe, hogy az incidensnek mindössze két érintettje volt, illetve, hogy a cég felkérte a tévesen címzett felet az üzenet törlésére. Ezen a ponton azonban ismét kiemelte, hogy egy szimpla felkérés az illetéktelenül kapott üzenetek törlésére nem helyettesítheti a megfelelő szervezeti és technikai intézkedések meghozatalát.
A jelen ügyben megismerthez nagyon hasonló, ám lényeges tényezőkben különböző tényállásban foglalt állást a 29-es Munkacsoport WP250-es számú, adatvédelmi incidensekkel foglalkozó iránymutatásában az alábbiak szerint:
„A lehetséges kockázat mértékére hatással lehet az is, hogy az adatkezelőnek tudomása van-e arról, a személyes adatok ismeretlen vagy rossz szándékú személyekhez kerültek. Titoksértés merülhet fel, amennyiben a személyes adatokat tévedésből közlik a 4. cikk 10. pontjában meghatározott harmadik féllel vagy más címzettel.
Ez például akkor fordulhat elő, ha a személyes adatokat véletlenül a szervezet rossz szervezeti egységének vagy széles körben igénybe vett beszállító szervezetnek küldik. Az adatkezelő arra kérheti a címzettet, hogy a kapott adatokat juttassa vissza vagy biztonságosan semmisítse meg. A címzett mindkét esetben „megbízhatónak” tekinthető, amennyiben az adatkezelő folyamatos kapcsolatban áll vele, és ismeri eljárásaikat, történetüket és más fontos részletet.
Más szóval az adatkezelő bizonyos mértékig megbízhat a címzettben, így észszerűen várhatja el, hogy a másik fél a tévedésből neki küldött adatokat nem tanulmányozza át, és nem tekint bele, valamint eleget tesz az adatok visszaszolgáltatására vonatkozó utasításoknak. Még ha a címzett be is tekintett az adatokba, az adatkezelő akkor is bízhat abban, hogy további műveleteket nem végez velük, haladéktalanul visszaszolgáltatja őket az adatkezelőnek, és együttműködik a helyreállításukban.
Ilyen esetben ez figyelembe vehető az adatkezelő által az incidenst követően elvégzendő kockázatértékelés során: az a tény, hogy a címzett megbízható, nem teszi meg nem történtté az incidenst, csupán mérsékelheti annak súlyosságát. Ugyanakkor ezáltal kiküszöbölhető az egyéneket érintő kockázat valószínűsége, így már nem lesz szükséges a felügyeleti hatóságnak bejelentést tenni vagy az érintett egyéneket értesíteni. Ez szintén esettől függ. Mindazonáltal az adatkezelőnek az incidensek nyilvántartására vonatkozó általános kötelezettsége részeként ennek ellenére meg kell őriznie az incidensre vonatkozó információkat.”
Látható tehát, hogy önmagában az, hogy egy e-mail rossz címzettnek kerül kiküldésre, még nem jelenti, hogy be kell jelenteni a hatóságnak is az incidenst. Szükséges a kockázatértékelésben figyelembe venni az incidensben érintett adatokat, a címzett személyét, az adatkezelőnek vele fennálló kapcsolatát, és valamennyi, az érintettre jelentett kockázat megítélése szempontjából releváns adatot.