Artykuły

Przesyłki kurierskie a ryzyko kar. Lekcje z naruszeń ochrony danych

Wyobraź sobie taki scenariusz: przesyłka pełna poufnych dokumentów bankowych zostaje skradziona kurierowi. Co teraz? Ta historia nie jest tylko emocjonującym wstępem do fikcyjnej opowieści. To realny przypadek, który rzuca światło na kluczowe obowiązki i wyzwania stojące przed administratorami danych w dzisiejszym świecie. Czytaj dalej, by dowiedzieć się, jakie lekcje możemy wyciągnąć z tego wydarzenia i jak uniknąć potencjalnych konsekwencji, które mogą kosztować nawet miliony.

Czy doszło do naruszenia ochrony danych osobowych?

Oto sytuacja, która miała miejsce niedawno w sektorze bankowym: Ktoś ukradł kurierowi przesyłkę z dokumentami. Jak czytamy w aktualnościach Urzędu Ochrony Danych Osobowych, porzucona na jednym z osiedli paczka zawierała m.in. takie dane jak: imiona i nazwiska, daty urodzenia, numery rachunków bankowych, dane adresowe i kontaktowe, numery PESEL, nazwy użytkowników i hasła do banku, czy dane o zarobkach, seria i numery dowodu osobistego, informacje o produktach bankowych. 

Brzmi groźnie, prawda? Z drugiej strony przesyłka została odnaleziona niedługo po jej utracie przez kuriera. Dodatkowo potwierdzono, że wszystkie dokumenty były na swoim miejscu, a osoba, która je odnalazła, natychmiast przekazała je do najbliższej jednostki policji, zapewniając, że nie wykonała żadnych kopii znalezionych materiałów.

Czy zatem doszło w tym przypadku do naruszenia ochrony danych osobowych?

Z naruszeniem ochrony danych osobowych mamy do czynienia również, gdy administrator nie jest w stanie samodzielnie jednoznacznie stwierdzić, że nie doszło do ujawnienia danych.

W związku z tym Prezes UODO Mirosław Wróblewski nałożył na bank administracyjną karę pieniężną w wysokości 1 mln zł 440 tys. zł.

 

Dlaczego na bank została nałożona kara?

Zwróćmy uwagę, że nie była to kara za samo „wystąpienie naruszenia”, ale za brak jego zgłoszenia do UODO. W uzasadnieniu wymiaru kary zaznaczono także, że jest to kolejne stwierdzone naruszenie ochrony danych osobowych u tego samego administratora.

Ponadto urząd stwierdza, że: „w przypadku naruszenia ochrony danych, oceny ryzyka naruszenia praw lub wolności osoby fizycznej powinno się dokonać przez pryzmat osoby zagrożonej, a nie interesów administratora”. 

Jak wygląda opisana sytuacja z perspektywy osób zagrożonych? Brak zawiadomienia ich o naruszeniu ochrony danych pozbawia je szansy odpowiedniej reakcji na naruszenie, a nawet samodzielnej oceny sytuacji. W przypadku wysokiego ryzyka naruszenia jest to niezwykle istotne, ponieważ zdarzenie może mieć poważne skutki dla poszkodowanych.

Podobnie przedstawia się ten przypadek z perspektywy organu nadzorczego, jakim jest Prezes UODO. Nawet samo opóźnienie w poinformowaniu go o zdarzeniu pozbawia go możliwości:

  • oceny ryzyka, 
  • weryfikacji, czy administrator zastosował odpowiednie środki zapobiegawcze oraz minimalizujące skutki naruszenia,
  • stwierdzenia, czy administrator podjął czynności minimalizujące ryzyko ponownego naruszenia,
  • reakcji na naruszenie.

Dlatego nie ma znaczenia, czy wrażliwe informacje faktycznie zostały odczytane i wykorzystane przez osoby trzecie, liczy się ryzyko, które tu niewątpliwie zaistniało, a bank powinien zgłosić naruszenie prezesowi UODO i poinformować klientów o możliwościach działania w tej sytuacji.

 

Przesyłanie wrażliwych dokumentów a naruszenia ochrony danych

To nie jedyne naruszenie ochrony danych w wyniku nieprawidłowego zabezpieczenia przesyłki, które zostało w ostatnich latach ukarane przez prezesa UODO. 

W kolejnym odnotowanym niedawno przypadku bank, w wyniku pomyłki pracownika, przesłał umowę kredytową i harmonogram spłaty niewłaściwemu klientowi. Źle zaadresowana przesyłka została otwarta, z związku z czym wrażliwe dane zostały ujawnione osobie trzeciej. Po zwróceniu przesyłki przez klienta bank odnotował incydent, ale nie zgłosił go prezesowi UODO. Kara za zlekceważenie tego wydarzenia i brak informacji do organu nadzorczego wyniosła ponad 78 tys. złotych.

Inny bank także poniósł słone koszty, ponad 360 tys. złotych, niewłaściwego zabezpieczenia przesyłki oraz braku odpowiedniego informowania klientów o postępowaniu w sytuacji ryzyka ujawnienia danych. Tym razem historia przedstawiała się następująco: dokumenty zawierające dane osobowe klientów, związane z założeniem konta, zostały wysłane z oddziału banku do jego centrali za pośrednictwem firmy kurierskiej. Przesyłka zaginęła. Bank zgłosił to pośrednikowi, ale firma kurierska, nie mogąc zlokalizować przesyłki, zamknęła poszukiwania. W związku z tym bank poinformował o sytuacji klientów, jednak udzielił im zbyt ogólnych informacji o naruszeniu oraz nie poinformował o nim organu nadzorczego, co zostało wzięte pod uwagę w decyzji prezesa UODO, który ukarał administratora.

Z podobnym problemem zmierzył się krakowski sąd po tym, jak wysłana na jego wniosek za pośrednictwem operatora pocztowego korespondencja dotarła do adresata uszkodzona i niekompletna, o czym także informuje strona UODO. Przesyłka zawierała wyjątkowo wrażliwe dane – m.in. dotyczące zdrowia psychicznego. Zbyt późne poinformowanie organu nadzorczego o sytuacji miało konsekwencje w postaci kary finansowej.

 

Kurier nie odpowiada za to, co w kopercie

Jak widać z powyższych przypadków, przesyłanie dokumentów bankowych i innych danych wrażliwych drogą pocztową niesie ze sobą poważne ryzyko. Przesyłka może zostać skradziona, zaginąć, dotrzeć do adresata uszkodzona lub trafić do niewłaściwego odbiorcy. W każdym z tych przypadków administrator nie jest w stanie stwierdzić jednoznacznie, że nie doszło do ujawnienia danych, ponosi więc pełną odpowiedzialność wobec poszkodowanych za zaistniałe ryzyko.

To na administratorze ciąży obowiązek znalezienia bezpiecznego rozwiązania dla ochrony informacji wrażliwych. Administratorem danych zawartych na dokumentach wewnątrz korespondencji jest podmiot je wysyłający i tylko on – jako nadawca – posiada wiedzę o tym, jakie dane przekazywane są w przesyłce. Podmiot świadczący usługi kurierskie takiej wiedzy nie posiada. To bank bowiem, a nie operator pocztowy, określił cele i sposoby przetwarzania danych. 

Co prawda, operatorzy pocztowi czy podmioty świadczące usługi kurierskie są administratorami, ale tylko danych widniejących na kopercie, czyli danych nadawców i adresatów, a więc danych w zakresie niezbędnym do prawidłowego dostarczenia przesyłki.

 

Co zrobić by uniknąć kary?

Czy opisanych sytuacji dało się uniknąć? Z pewnością tak! Przed możliwością kradzieży, zagubienia lub uszkodzenia przesyłki, a w przypadku naruszenia posądzeniem o niedochowanie należytej staranności, uchroni nas dbałość o bezpieczne przekazywanie dokumentów. 

Najlepiej w ogóle nie wysyłać tego typu danych pocztą tradycyjną lub za pośrednictwem kuriera. Tutaj lepszym rozwiązaniem jest przesyłka cyfrowa, pod warunkiem jednak, że jest ona także odpowiednio zabezpieczona. 

Przekonała się o tym firma ubezpieczeniowa, która przesłała informację o przyznaniu odszkodowania w załączniku wiadomości e-mail – jednak do niewłaściwego adresata. Brak zabezpieczenia podlegających szczególnej ochronie danych o ubezpieczeniu okazał się poważnym błędem, który kosztował administratora ponad 100 tys. złotych, jak czytamy w komunikacie UODO.

Tutaj bezpiecznym sposobem działania jest np. wysłanie zaszyfrowanych dokumentów elektronicznie oraz przesłanie (odpowiednio silnego) hasła osobnym kanałem. 

Jednak postulaty pełnej teletransmisji są równie szlachetne, co naiwne. Niektóre dokumenty mają postać papierową z pieczęciami i podpisami. Nie każdy ma podpis cyfrowy, więc takie dokumenty nadal istnieją i muszą być przesyłane w tradycyjnej fizycznej formie. Jak poradzić sobie w tej sytuacji?

 

Jak przewozić dokumenty w bezpieczny sposób?

Transport dokumentów zawierających wrażliwe dane osobowe, na przykład bankowe czy medyczne, to zadanie, które wymaga szczególnego podejścia i nie lada rozwagi. Najlepiej korzystać w tym wypadku z usług wyspecjalizowanych firm logistycznych, zapewniających poziomy zabezpieczenia odpowiednie dla tego typu przesyłek.

Obejmują one cały szereg środków służących zminimalizowaniu ryzyka naruszenia ochrony danych, na przykład:

  • Bezpieczne koperty i kasety: użycie specjalnie zaprojektowanych kopert i kaset z zabezpieczeniami fizycznymi, jak plomby czy farby barwiące zawartość w przypadku nieautoryzowanego otwarcia, stanowi pierwszą linię obrony przed dostępem osób trzecich do przesyłanych dokumentów.
  • Monitoring i śledzenie elektroniczne: tagi monitorujące położenie przesyłki czy monitoring pojazdu przy pomocy systemu GPS pozwalają na ciągłe monitorowanie lokalizacji przesyłki, dając możliwość natychmiastowej reakcji w przypadku jakichkolwiek nieprawidłowości. Dodatkowo, monitoring pojazdów przewożących dokumenty może dostarczać informacji w czasie rzeczywistym o potencjalnych zagrożeniach czy zmianach trasy.
  • Rozwiązania proceduralno-organizacyjne: implementacja procedur, takich jak podwójna obsada kierowcy-konwojenta podczas transportu, zwiększa bezpieczeństwo przez dodatkową kontrolę i ogranicza ryzyko utraty lub kradzieży przesyłki. Wprowadzenie procedur awaryjnych oraz regularne szkolenia personelu z zakresu bezpieczeństwa informacji są nieodłącznym elementem skutecznego systemu ochrony danych.

Wartością dodaną, którą oferują specjalistyczne firmy logistyczne, jest doświadczenie i znajomość branży, co umożliwia im identyfikację i adresowanie specyficznych potrzeb oraz potencjalnych zagrożeń związanych z transportem dokumentów wrażliwych. Decydując się na takie rozwiązania, organizacje mogą nie tylko minimalizować ryzyko naruszenia danych, ale również unikać surowych konsekwencji finansowych, które mogą wyniknąć z niezabezpieczonego transportu.

 

Czy warto postawić na bezpieczne rozwiązania? 

Jak dowodzi opisana sytuacja, optymalne kosztowo rozwiązanie transportu przesyłek pocztowych nie okazało się w ostatecznym rozrachunku korzystne. Kwota kary jest niewspółmierna do korzyści wynikających z realizacji celów kosztowych banku. Przytoczone historie powinny być przestrogą i motywacją do ponownego przemyślenia, jak i z kim współpracujemy w przewozie dokumentów, na których bezpieczeństwie zależy nam najbardziej.

W świetle przedstawionych wyzwań i rozwiązań, jasnym staje się, że droga do zapewnienia bezpieczeństwa dokumentów wiedzie przez świadome i przemyślane decyzje. Oszczędności, które na pierwszy rzut oka wydają się kuszące, mogą okazać się złudne, gdy weźmiemy pod uwagę potencjalne konsekwencje naruszenia bezpieczeństwa danych. 

Odpowiedzialność za ochronę informacji wypływa nie tylko z obowiązków prawnych, ale i z etycznego wymiaru zarządzania prywatnością klientów i pracowników. Warto o tym pamiętać i zadbać o bezpiecznych transport wrażliwych przesyłek.​​​​​​