Článek
Pojišťovna Uniqa během posledních několika měsíců omylem posílala e-maily s oznámením o škodné události klientů společnosti Essox, která patří do finanční skupiny Komerční banky a Société Générale, na adresu jednoho ze svých dalších zákazníků. Ten na omyl již od prosince upozorňuje, e-maily ale chodí stále dál.
Zprávy s oznámením o škodné události začaly jednomu z klientů pojišťovny (redakce jeho jméno zná a komunikuje s ním, nepřeje si ale být jmenován) chodit začátkem minulého prosince, tedy chvíli poté, co u Uniqa vyřizoval svou vlastní pojistnou událost. Aby ji mohl nahlásit, potřeboval se přihlásit do systému. To se mu nepodařilo, kontaktoval proto operátora, který mu s problémem pomohl. Patrně však omylem přiřadil jeho číslo a emailovou adresu hromadně ke všem klientům společnosti Essox.
Klientovi tak chodily jednou až dvakrát týdně e-maily a SMS s oznámením o škodné události úplně cizích lidí. Obsahovaly nejen celé jméno člověka, kterému se škodná událost stala, ale také jeho adresu, SPZ, VIN, typ vozidla a datum nehody. Někdy zase přišel e-mail s výší škody a číslem bankovního účtu, na kterou má zákazník částku poslat.
Ačkoli on sám na příval e-mailů a SMS pojišťovnu upozorňoval, až do února firma problém neřešila. Pak mu poslala e-mail s oznámením, že klienta z adresáře Essoxu odebírají a jeho kontakt nechávají pouze u jeho vlastní smlouvy. Klientovi pak zhruba měsíc skutečně žádné maily nechodily, nedávno se však vše začalo opakovat.
Že k chybě došlo, potvrzuje samotná pojišťovna. Poté, co ji redakce SZ Byznys o problematice kontaktovala, problém údajně vyřešila.
„Skutečně, náš klient dostal bohužel několikrát korespondenci, která nebyla určena pro něj. Pana klienta jsme oslovili a komunikujeme s ním, za vzniklou událost a selhání jsme se mu omluvili. Dalšímu zasílání podobných zpráv kolegové systémově zamezili,“ sdělila mluvčí společnosti Uniqa Eva Svobodová.
„Vnímáme to s veškerou vážností a analyzujeme důkladně a urychleně všechny naše komunikační systémy, aby se podobná chyba a takový incident nemohly opakovat,“ dodává.
Redakce SZ Byznys proto kontaktovala i samotnou společnost Essox, aby zjistila, zda o celé situaci ví.
„O vzniklé situaci společnost ESSOX nevěděla. Zabezpečení klientských dat ohledně pojištění je plně v gesci pojišťovny Uniqa a mrzí nás negativní dopad na klienta. Podle našich informací Uniqa vzniklou situaci s klientem intenzivně řeší a stejně intenzivně pracuje i na odstranění příčin pochybení,“ komentuje situaci tisková mluvčí Komerční banky Šárka Nevoralová.
Mohlo by se jednat o porušení ochrany osobních údajů
„Pokud pojišťovna omylem zasílá oznámení o škodní události, která obsahují osobní údaje klientů, svým dalším klientům, dochází k porušení zabezpečení osobních údajů dle. čl. 4 odst. 12 obecného nařízení o ochraně osobních údajů (nařízení Evropského parlamentu a Rady EU),“ komentuje situaci Tereza Koláříková z advokátní kanceláře Rada&Partner.
„Při neoprávněném předání dat třetím osobám dochází k porušování zásad zpracování osobních údajů, konkrétně porušení zásady integrity a důvěrnosti, dle které mají být osobní údaje zpracovány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním,“ pokračuje.
Pokud by porušení zabezpečení představovalo riziko pro práva a svobody dotčených klientů pojišťovny, má podle ní pojišťovna povinnost do 72 hodin od zjištění spravit příslušný dozorový úřad. Pokud by bylo riziko vysoké, má povinnost dát o tom také vědět poškozeným klientům.
Poškození pak mají také možnost podat stížnost Úřadu pro ochranu osobních údajů nebo se obrátit na soud a domáhat se náhrady vzniklé újmy.
Za porušení hrozí pokuta až 20 milionů eur
„Za porušení Nařízení GDPR může být dozorovým úřadem obecně uložena pokuta až do výše 10 milionů EUR (v případě podniku do 2 % celkového ročního celosvětového obratu) nebo do výše 20 milionů EUR (do 4 % celkového ročního celosvětového obratu v případě podniku), a to v závislosti na závažnosti a okolnostech porušení,“ říká Koláříková.
Dodává však, že se vždy individuálně posuzuje, jestli se jednalo o zavinění úmyslné či neúmyslné, kolika subjektů se záležitost dotkla, jakého byla rozsahu a podobně.
V Česku zatím nebyla udělena žádná pokuta, která by se blížila některému z vrchních limitů stanovených nařízením.
„Z výroční zprávy Úřadu pro ochranu osobních údajů za rok 2021 činila nejvyšší částka pokuty uložená Úřadem 2.000.000,- Kč, a to za nesplnění uložených nápravných opatření,“ uzavírá Koláříková. Celkem se v ČR od začátku platnosti nařízení vybralo 10.684.000,- Kč.