UODO o zaistniałej sytuacji poinformowała firma zajmująca się pośrednictwem ubezpieczeniowym. W procesie przetwarzania danych pełniła ona podwójną rolę. Z jednej strony była administratorem danych, a z drugiej podmiotem przetwarzającym działającym na rzecz towarzystw ubezpieczeniowych.
Naruszenie polegało na wysłaniu pocztą elektroniczną przez pracownika pośrednictwa finansami do niewłaściwego odbiorcy analizy potrzeb ubezpieczeniowych oraz oferty ubezpieczenia, zawierającą dane jak imię, nazwisko, numer PESEL, miejscowość, kod pocztowy czy informację o przedmiocie ubezpieczenia. Podmiot ten, będąc administratorem danych w postaci imienia i nazwiska, zdecydował się dokonać zgłoszenia naruszenia ochrony danych osobowych do UODO w związku z ujawnionymi danymi osobowymi zawartymi w załącznikach. Uznał on, że połączenie tych danych w powiązaniu z danymi zawartymi w załączonych dokumentach może spowodować, że naruszenie będzie skutkowało ryzykiem naruszenia praw lub wolności osoby fizycznej. W błędnie wysłanej korespondencji były dane osobowe zawarte w ofertach i kalkulacjach kilku towarzystw ubezpieczeniowych. Podmiot, który dokonał naruszenia, występował jednocześnie w roli podmiotu przetwarzającego towarzystw ubezpieczeniowych, dlatego też zawiadomił je o naruszeniu. Przeprowadzona przez UODO weryfikacja wykazała, że w związku z tym incydentem kilka towarzystw ubezpieczeniowych jako administratorzy danych, dokonało zgłoszenia naruszenia ochrony danych. Zgłoszenia takiego nie odnotowano od Sopockiego Towarzystwa Ubezpieczeń ERGO Hestia S.A..
UODO zwrócił się do spółki o wyjaśnienia. Spółka potwierdziła, że w istocie doszło do naruszenia ochrony danych osobowych, jednak na podstawie wykonanej oceny pod kątem ryzyka naruszenia praw i wolności osób fizycznych uznano, iż nie doszło do naruszenia skutkującego koniecznością zgłoszenia naruszenia Prezesowi UODO oraz zawiadomienia osoby, której danych osobowych dotyczy naruszenie.
- Błędy, jak również nieprawidłowości w przeprowadzonej ocenie polegające w szczególności na zaniżaniu wyników w poszczególnych kryteriach, braku uwzględnienia istotnych czynników dla poszczególnych kryteriów, czy uwzględnieniu czynników, które nie powinny mieć zastosowania, wskazują, że analiza została przeprowadzona w sposób dowolny i nie została wykorzystana jako narzędzie służące pomocą spółce w ocenie, czy należy dokonać zgłoszenia naruszenia organowi nadzorczemu oraz zawiadomić o naruszeniu osobę, której dane dotyczą, ale raczej na potrzeby wykazania braku podlegania takim obowiązkom - wyjaśnia UODO.
Zwraca też uwagę, że spółka przedstawiła oświadczenie złożone przez nieuprawnionego odbiorcę wiadomości, z którego wynika, że nie jest w posiadaniu wysłanych dokumentów, oraz że nie jest mu znana treść załączonych do wiadomości dokumentów, gdyż nie zapoznawał się z ich treścią przed usunięciem wiadomości. Jednak oświadczenie takie nie wyklucza przyjęcia, że wystąpiło wysokie ryzyko naruszenia praw lub wolności osoby, której dane dotyczą, jak i nie wyklucza możliwości wystąpienia negatywnych konsekwencji w przyszłości.